فضيحة أمنية: إضافتان على كروم تتجسسان على بيانات الدخول في أكثر من 170 موقعًا

في لحظة يبدو فيها تصفح الإنترنت عملاً اعتيادياً، تواصل الامتدادات الصغيرة التي نُحمّلها للراحة أو الفضول تشكيل أخطر منافذ الاختراق. أحدث مثال على ذلك كشف باحثين أمنيين عن امتدادين في متصفح غوغل كروم نجحا في التسلل إلى حياة المستخدمين اليومية، تحت غطاء "أداة لقياس سرعة الشبكة"، بينما كانت مهمتهما الحقيقية سرقة بيانات الاعتماد الخاصة بمئات المواقع.

وفقًا لتقرير نشره موقع The Hacker News، اكتشف باحثون من شركة Socket اثنين من الامتدادات الخبيثة المتطابقة في الاسم والمطور، يعِدان المستخدم بخدمة VPN مدفوعة للفنيين والعاملين في التجارة الدولية. وبينما يدفع المستخدم اشتراكاً يتراوح بين دولار وأربعة عشر دولاراً تقريباً، تبدأ عملية اعتراض حركة الشبكة وحقن بيانات اعتماد مزيفة لتمكين المهاجمين من موقع «الرجل في الوسط».

يعمل الامتدادان من خلال تعديل مكتبات جافا سكريبت شائعة الاستخدام مثل jquery وscripts.js، ويُدرج فيهما كوداً خفياً يقوم بإرسال بيانات دخول المستخدمين إلى خادم تحكم مركزي كل دقيقة تقريباً. هذه البيانات تتضمن البريد الإلكتروني وكلمات المرور وحتى رموز الجلسات، ما يمنح المهاجمين قدرة دائمة على تتبّع المستخدم والتجسس على أنشطته عبر أكثر من 170 موقعاً من بينها منصات المطورين وخدمات الحوسبة السحابية وشبكات التواصل الاجتماعي.

كي لا يثير الامتدادان الريبة، فإنهما يؤديان بعض الوظائف الحقيقية كقياس زمن الاستجابة وعرض سرعات الاتصال، فيوهمان الضحية أنه يستخدم أداة عملية. لكن ذلك الأداء الظاهري كان ستاراً لعملية اختراق متقنة تستغل الثقة في العلامة التجارية للمتصفح وبساطة واجهة الامتدادات. من جهة، تواصل الأداة إرسال «نبضات» إلى خادم خارجي على نطاق phantomshuttle.space ما يضمن للجهة المهاجمة استمرار السيطرة والتحديث.

"خلف واجهة اشتراك مدفوعة وبنية تحتية محترفة، يُدار نظام متكامل لجمع البيانات، يعتقد فيه المستخدم أنه اشتراك آمن بخدمة VPN بينما يمنح المتسللين منفذاً إلى كل شيء." – من تقرير شركة Socket

تُبرز هذه الحادثة جانباً مقلقاً في البنية الأمنية للمؤسسات والمستخدمين الأفراد على حد سواء. فغالباً ما تمر الامتدادات تحت الرادار، دون رقابة أمنية مكافئة للتطبيقات التقليدية. وتشير الحادثة إلى حاجة المؤسسات لتفعيل أساليب «القوائم البيضاء» للامتدادات، ومراقبة طلبات الشبكة الغريبة خصوصاً تلك التي تتضمن مصادقة عبر بروكسي. إنها تذكير بأن الأمن الرقمي لا ينتهي عند جدار الحماية أو التشفير، بل يشمل حتى أزرار المتصفح الصغيرة التي نغفل عنها.

في وقت تتداخل فيه أدوات الذكاء الاصطناعي والمساعدين البرمجيين في بيئات التطوير، يشير الخبراء إلى أنّ هذه الظاهرة قد تتفاقم مع ما يُعرف بـ«المفاتيح الظلية» و«الخوادم الوكيلة للذكاء العامل»، حيث تُدمج الوظائف الذكية في أدوات العمل اليومية دون تدقيق أمني كافٍ. وهنا يصبح السؤال الأهم ليس عن مدى قدرة المتصفح على الحماية، بل عن حدود الثقة التي نمنحها للتقنيات التي تبدو مألوفة وآمنة ظاهرياً.

تكشف هذه الواقعة مرة أخرى أن الخطر لا يأتي دائماً من التطبيقات المشبوهة أو المواقع المجهولة، بل أحياناً من أداة نستخدمها يومياً بلا تفكير. وحتى مع صرامة سياسات غوغل في مراجعة الإضافات، تظل مسؤولية المستخدم الفردي والمؤسسة قائمة في فحص ما يُثبّت على المتصفح، لأن السلاح الرقمي الأكثر فتكاً لا يطلق ضجيجاً، إنه ببساطة سطر كود خفي ينتظر مرور كلمة السر.