كشفت تقارير حديثة عن ظهور خمس إضافات خبيثة متطورة على متصفح جوجل كروم، تستهدف بشكل مباشر منصات الموارد البشرية والأنظمة المالية والإدارية (ERP) المستخدمة على نطاق واسع في الشركات والمؤسسات حول العالم. هذه الإضافات تعمل بتنسيق دقيق لسرقة بيانات الاعتماد، وتعطيل الإجراءات الأمنية، وتمكين الاستيلاء الكامل على حسابات المستخدمين.
تم اكتشاف هذه الحملة الخبيثة من قبل محللي Socket.dev، حيث تعمل الإضافات على سرقة رموز المصادقة، مما يتيح للمهاجمين الاستيلاء الكامل على الحسابات عبر تقنية اختطاف الجلسات. تعتبر هذه الأنظمة، مثل Workday وNetSuite وSuccessFactors، حساسة للغاية وتحتوي على بيانات حيوية للموظفين والشركات.
تشير المعلومات إلى أن الجهات التابعة لهذه الحملة قامت بنشر أربع إضافات تحت اسم “databycloud1104″، في حين تعمل الإضافة الخامسة بعلامة تجارية مختلفة وهي “softwareaccess”، لكنها تشترك في نفس البنية التحتية وآليات الهجوم. وقد تجاوز عدد المستخدمين الذين تأثروا بهذه الإضافات مجتمعة 2,300 مستخدم في بيئات مؤسسية مختلفة.
إضافات كروم الخبيثة وتهديدها للمنصات المؤسسية
تعكس هذه الظاهرة مستوى عالٍ من التخطيط والتنسيق من قبل المهاجمين، حيث تم تصميم كل إضافة لتلعب دوراً محدداً في استراتيجية هجوم شاملة تهدف إلى تجاوز الدفاعات الأمنية القياسية. وبينما تسوق هذه الإضافات نفسها كأدوات إنتاجية مشروعة لتبسيط الوصول عبر حسابات متعددة، فإنها في الواقع تقوم بسرقة بيانات الاعتماد ومنع فرق الأمن من الاستجابة للهجمات.
من أبرز القدرات الخطيرة التي لوحظت هي تقنية “حقن ملفات تعريف الارتباط ثنائية الاتجاه” المطبقة بواسطة إضافة Software Access. تتيح هذه التقنية للمهاجمين إدخال ملفات تعريف الارتباط المسروقة مباشرة في متصفحاتهم، مما يمنحهم وصولاً فورياً إلى حسابات الضحايا دون الحاجة إلى كلمات مرور أو تجاوز آليات المصادقة متعددة العوامل.
إضافة إلى ذلك، تقوم الإضافات الأخرى باستخلاص رموز الجلسات بشكل مستمر كل 60 ثانية، مما يضمن حصول المهاجمين على بيانات اعتماد محدثة حتى لو قام المستخدمون بتسجيل الخروج ثم الدخول مجدداً خلال العمليات التجارية العادية. هذا التهديد يستدعي يقظة عالية من المؤسسات لحماية بياناتها الحساسة.
آلية الإصابة والتشبث من خلال حظر الوصول الإداري
تعتمد هذه الإضافات على آلية إصابة متطورة تجمع بين سرقة بيانات الاعتماد وحظر موجه لواجهات الإدارة لمنع الاستجابة للحوادث. تعمل الإضافات من خلال التلاعب بنموذج كائن المستند (DOM)، حيث تقوم بمراقبة محتوى الصفحة باستمرار، وتمحو صفحات الإدارة الأمنية فوراً عند محاولة المستخدمين الوصول إليها.
تتسبب إضافة Tools Access 11 في حظر 44 صفحة إدارية ضمن Workday، فيما توسع إضافة Data By Cloud 2 هذا العدد إلى 56 صفحة، تشمل وظائف حيوية مثل تغيير كلمات المرور، وتعطيل الحسابات، وإدارة أجهزة المصادقة متعددة العوامل، وسجلات التدقيق الأمني.
تتم آلية الحظر عبر مراقبة مستمرة باستخدام وظائف MutationObserver، والتي تتحقق من الصفحة كل 50 مللي ثانية. وعندما يحاول المسؤولون إعادة تعيين كلمات المرور أو تعطيل الحسابات المخترقة، تقوم الإضافات باستبدال محتوى الصفحة بالكامل بمساحة فارغة وإعادة توجيه المستخدمين إلى عناوين URL معيبة. هذا يخلق سيناريو فشل في الاحتواء، حيث يمكن لفرق الأمن اكتشاف الوصول غير المصرح به، لكنها لا تستطيع تنفيذ إجراءات الإصلاح القياسية، مما يضطر المؤسسات إما إلى السماح بالوصول غير المصرح به المستمر أو ترحيل المستخدمين المتأثرين إلى حسابات جديدة بالكامل.