تم اكتشاف 17 إضافة خبيثة لمتصفحات Chrome و Firefox و Edge، تم تحميلها أكثر من 840,000 مرة، مما يهدد أمن المستخدمين بخرق بياناتهم الحساسة. حملة “GhostPoster” هذه، التي ظهرت في عام 2020، استغلت أسماء ملحقات تبدو شرعية مثل “ترجمة جوجل بالنقرة اليمنى” و “تحميل يوتيوب” للتخفي. هذه الإضافات نجحت في تجاوز إجراءات الأمان الخاصة بمتاجر المتصفحات الرئيسية وبقيت نشطة لسنوات قبل اكتشافها.
عملية الانتشار الواسعة لهذه الإضافات المارقة تبرز مدى فعالية التهديدات السيبرانية وصعوبة تمييز المستخدمين بين الإضافات الموثوقة والخبيثة. تستغل هذه الحملة نقطة ضعف أساسية في أمن المتصفحات، حيث يعتمد المستخدمون بشكل كبير على الثقة في الإضافات المتاحة عبر المتاجر الرسمية.
حملة GhostPoster الإجرامية تستهدف ملايين المستخدمين
تعتمد الإضافات الخبيثة على تقنية إخفاء البيانات (steganography) لوضع الكود الضار داخل ملفات صور PNG، مما يمنحها قدرة استثنائية على التخفي. بعد تثبيتها، تستخرج هذه الإضافات الشفرة المخفية وتنشئ اتصالاً بخوادم يتحكم فيها المهاجمون لتنزيل نصوص برمجية إضافية.
يقوم البرنامج الضار بعد ذلك بتنفيذ إجراءات خطيرة تشمل اختطاف روابط التسويق بالعمولة لتحقيق مكاسب مالية، وحقن نصوص لتتبع سلوك المستخدم، والتلاعب برؤوس HTTP لتعطيل الحماية الأمنية، وسرقة بيانات الاعتماد والمعلومات الشخصية.
تُظهر هذه الأساليب المتطورة أن الهجوم ليس عشوائيًا، بل هو عملية مخططة جيدًا تهدف إلى تحقيق ربح مالي وضمان الوصول المستمر إلى أجهزة المستخدمين. وقد كشف محللو LayerX Security عن النطاق الكامل للحملة بعد أن اكتشفت شركة Koi Security في البداية إضافة خبيثة واحدة لمتصفح Firefox.
آليات الاختراق والتهديد المستمر
أظهر التحقيق أن هذه الإضافات الـ 17 ليست حوادث فردية، بل جزء من جهود منسقة. لقد طور الجهات الخبيثة استراتيجياتهم بما يتناسب مع متطلبات الأمان الخاصة بكل منصة، موسعين نطاق هجومهم من Microsoft Edge إلى Firefox ثم إلى Chrome.
تعتمد آلية العدوى المعقدة للبرنامج الضار على التنفيذ المتأخر لتجنب الكشف. عند تثبيتها، تنتظر الإضافة 48 ساعة أو أكثر قبل التفعيل، مما يسمح لها بالتسلل وتجاوز الفحص الأمني الأولي. في بعض الحالات، تنتظر النسخ المتقدمة حتى خمسة أيام قبل الاتصال بالخوادم البعيدة، مما يخلق نافذة زمنية تعمل فيها البرمجيات الخبيثة بينما تظل أدوات الكشف غير نشطة.
يبقى الكود الضار مدمجًا داخل النص البرمجي الخلفي للإضافة ويستخدم حمولات مشفرة لا يتم فك تشفيرها إلا وقت التشغيل. هذا يجعل التحليل الثابت صعبًا للغاية ويضمن بقاء التهديد مخفيًا حتى يتم تفعيله بالكامل على أجهزة الضحايا.