تم اكتشاف امتدادين خبيثين لمتصفح كروم، يحملان اسم “Phantom Shuttle”، وهما يستغلان آلاف المستخدمين عبر انتحال صفة خدمات VPN شرعية، بهدف اعتراض حركة بياناتهم على الإنترنت وسرقة بيانات تسجيل الدخول الحساسة. تم العثور على هذه الامتدادات التي تعمل منذ عام 2017.
يجري توزيع هذه الامتدادات الخبيثة على أكثر من 2180 مستخدماً عبر متجر كروم الإلكتروني، حيث لا تزال تعمل دون اكتشاف. يستخدم المهاجم عبر هذا الاحتيال البريدي الإلكتروني theknewone.com@gmail[.]com لنشر كلا النسختين من الامتداد، اللتين تعملان بنفس الطريقة على الرغم من مظهرهما المختلف.
امتدادات كروم الخبيثة تستهدف بيانات المستخدم
لا يعي المستخدمون الذين قاموا بتثبيت هذه الامتدادات أنهم يشغلون برامج ضارة تراقب جميع أنشطتهم عبر الإنترنت وترسل بيانات اعتمادهم باستمرار إلى خوادم يتحكم فيها المهاجمون. تسوق هذه الامتدادات لنفسها كـ “ملحقات لاختبار سرعة شبكة متعددة المواقع” مصممة للمطورين وعمال التجارة الصينيين.
يقوم المستخدمون بشراء اشتراكات تتراوح أسعارها بين 9.9 و 95.9 يوان (حوالي 1.40 إلى 13.50 دولار أمريكي) عبر طرق دفع شرعية، بما في ذلك Alipay و WeChat Pay. يحصل المستخدمون على خدمات وكيل (proxy) تعمل كالمعتاد، حيث تقوم بإجراء اختبارات الكمون وعرض حالة الاتصال.
هذا الغطاء التجاري يخفي نشاطاً خبيثاً مدمراً يحدث في الخلفية، مما يخلق شعوراً زائفاً بالأمان.
آلية اعتراض المصادقة
قام محللو Socket.dev بتحديد أن هذه الامتدادات تقوم باعتراض كامل لحركة المرور عبر آلية متطورة لحقن بيانات الاعتماد. تقوم الامتدادات تلقائياً باعتراض كل طلب مصادقة HTTP عبر جميع مواقع الويب وحقن بيانات اعتماد وكيل (proxy) ثابتة (اسم المستخدم: topfany، كلمة المرور: 963852wei) دون علم المستخدم.
يسمح هذا للمهاجمين بإعادة توجيه جميع حركة تصفح الإنترنت عبر خوادم الوكيل الخاصة بهم، مما يخلق فعلياً هجوماً من نوع “الرجل في المنتصف” (man-in-the-middle attack).
يتم إخفاء الشفرة الخبيثة داخل مكتبات JavaScript معدلة مجمعة مع الامتداد، وبالتحديد jquery-1.12.2.min.js و scripts.js. وجد الباحثون أن الامتدادات تستخدم مخطط ترميز مخصص للفهرس الحرفي لإخفاء بيانات اعتماد الوكيل الثابتة، مما يجعلها أصعب في الكشف أثناء التحليل الأمني.
تقوم الشفرة بتسجيل مستمع لـ chrome.webRequest.onAuthRequired، والذي يعترض تحديات المصادقة قبل أن يراها المستخدمون. عند تشغيل المستمع، فإنه يستجيب تلقائياً ببيانات الاعتماد الثابتة باستخدام وضع asyncBlocking، مما يضمن حدوث الاستجابة بشكل متزامن دون إعطاء المستخدمين أي فرصة للتدخل.
تحافظ الامتدادات على نبض قلب مدته 60 ثانية لخادم القيادة والتحكم (C2) على phantomshuttle.space، مما يؤدي باستمرار إلى تسريب بيانات المستخدم. أثناء كل إرسال لنبض القلب وفحص حالة VIP، ترسل الامتدادات عناوين البريد الإلكتروني وكلمات المرور للمستخدمين بنص عادي إلى البنية التحتية للمهاجم، وتحدث هذه العملية كل خمس دقائق للمستخدمين النشطين.
تظل الامتدادات قيد التشغيل اعتبارًا من 23 ديسمبر 2025، وقد قدمت Socket.dev طلبات إزالة إلى فريق أمن متجر كروم الإلكتروني التابع لجوجل. يجب على المستخدمين الذين قاموا بتثبيت هذه الامتدادات إلغاء تثبيتها فوراً وتغيير جميع كلمات المرور التي استخدموها في متصفحاتهم.