امتدادان في «كروم» يمكّنان القراصنة من سرقة بيانات المستخدمين
حذّر تقرير أمني من اكتشاف امتدادين خبيثين في متصفح «غوغل كروم» يحملان الاسم نفسه ويُنشران من مطوّر واحد، يزعم أنه يقدّم أداة لاختبار سرعات الشبكات في مواقع متعددة لخدمة المطورين والعاملين في التجارة الخارجية.
وأوضح باحثون من شركة «Socket» للأمن السيبراني أن الامتدادين يقدّمان واجهة تبدو شرعية ويجريان بالفعل اختبارات زمن استجابة على خوادم وكيلة، لكنهما في الخلفية يعترضان حركة التصفح ويحقنان بيانات اعتماد وكيل (بروكسي) ثابتة في طلبات المصادقة.
وبيّن تقرير أن المستخدمين يُطلب منهم دفع اشتراك تتراوح قيمته بين 9.9 و95.9 يوان صيني (نحو 1.40 إلى 13.50 دولار أميركي) لقاء الترقية إلى وضع «VIP»، وبعد الدفع يُفعَّل نمط «Smarty» الذي يوجّه حركة التصفح إلى أكثر من 170 نطاقاً مستهدفاً عبر خوادم يتحكم بها المهاجم.
وباستخدام تعديلات خبيثة أُضيفت إلى مكتبات «JavaScript» مدمجة في الامتدادين، يقوم الكود بحقن اسم مستخدم وكلمة مرور الوكيل في كل طلب مصادقة HTTP عبر واجهة chrome.web، ما يسمح للجهة المهاجمة بالتموضع كرجل في الوسط «Man-in-the-Middle».
وأوضح باحثون أن هذا الترتيب يمكّن الامتدادين من التقاط كلمات المرور وأرقام البطاقات الائتمانية وملفات تعريف الارتباط الخاصة بالمصادقة وسجل التصفح وبيانات النماذج والمفاتيح السرّية للمطورين، ثم إرسالها بشكل مستمر إلى خادم قيادة وتحكم مستضاف على بنية «علي بابا كلاود».
ويحذّرون من أن تسريب أسرار المطورين قد يفتح الباب أمام هجمات على سلسلة التوريد، عبر استغلال المفاتيح أو الرموز المسروقة لاختراق مستودعات الشيفرة أو خدمات البنية التحتية.
ونبّه خبراء إلى أن استخدام اللغة الصينية في وصف الامتدادين، وإتاحة الدفع عبر «Alipay» و«WeChat Pay»، إلى جانب استضافة البنية الخلفية في «علي بابا كلاود»، كلها مؤشرات إلى أن العملية قد تكون ذات صلة بجهة تهديد مقرّها «الصين»، وإن لم يُحسَم ذلك بشكل قاطع.
ويوصي الخبراء المستخدمين الذين ثبّتوا أي امتدادات غير معروفة باسم «multi-location network speed test plug-in» بإزالتها فوراً، وتغيير كلمات المرور للحسابات الحساسة، وتفعيل المصادقة الثنائية، مع الحرص على تحميل الامتدادات من مطورين موثوقين فقط ومراجعة الصلاحيات بعناية قبل منحها.
