كشف باحثون في مجال الأمن السيبراني عن واحدة من أوسع عمليات اختراق إضافات المتصفحات التي تم توثيقها عالمياً، تقف خلفها جهة تهديد منظمة تُعرف باسم DarkSpectre ، يُعتقد أنها تعمل من الصين. وعلى مدار أكثر من سبع سنوات، نجحت هذه الشبكة في إصابة ما يزيد على 8.8 ملايين مستخدم لمتصفحات Chrome وEdge وFirefox وOpera، عبر إضافات بدت شرعية تماماً، وانتشرت داخل متاجر المتصفحات الرسمية دون إثارة الشبهات.
وبحسب دراسة أجرتها شركة Koi.ai، تدير المجموعة ثلاث حملات مترابطة هي: ShadyPanda وGhostPoster وحملة تم التعرف عليها حديثاً باسم The Zoom Stealer، وتشكل جميعها عملية واحدة منظمة على نحو استراتيجي.
عملية واحدة وليست هجمات متفرقة
تشير التحقيقات إلى أن DarkSpectre ليست مجموعة قرصنة عشوائية، بل عملية تشغيلية واحدة أدارت عدداً من الحملات المتوازية، مستخدمة إضافات ذات وظائف حقيقية لجذب المستخدمين وبناء الثقة قبل تفعيل السلوك الخبيث لاحقاً. هذه الإضافات لم تكن تطبيقات مجهولة، بل أدوات شائعة يعتمد عليها المستخدمون يومياً.
يختلف هيكل DarkSpectre عن عمليات الجرائم الإلكترونية التقليدية، إذ تدير المجموعة عناقيد برمجيات خبيثة منفصلة لكنها مترابطة، لكل منها أهداف محددة.
حملة ShadyPanda، المسؤولة عن نحو 5.6 ملايين إصابة، تركّز على المراقبة طويلة الأمد للمستخدمين والاحتيال في برامج التسويق بالعمولة للتجارة الإلكترونية.
وقد بدت إضافاتها شرعية لسنوات، إذ قدمت صفحات تبويب جديدة وأدوات ترجمة، قبل أن تبدأ سراً في تنزيل إعدادات خبيثة من خوادم التحكم والسيطرة مثل jt2x.com وinfinitynewtab.com.
أكبر الحملات، ShadyPanda ، أصابت نحو 5.6 ملايين مستخدم ، واعتمدت على إضافات إنتاجية منتشرة على نطاق واسع. من بين الأمثلة التي رُصدت إضافات مثل أدوات الترجمة، ومديري التبويبات، وصفحات التبويب الجديدة، من بينها إضافات حملت أسماء مثل WeTab، ونسخ متعددة من إضافات “New Tab” و“Customized Dashboard”، إضافة إلى أدوات ترجمة ظهرت كبدائل خفيفة لخدمات معروفة.
هذه الإضافات عملت لسنوات بشكل طبيعي، وحصلت على تقييمات إيجابية وشارات “موثوقة”، قبل أن تبدأ في جمع بيانات التصفح، وتتبع سلوك المستخدمين، والتلاعب بنتائج البحث. كما استُخدمت في تنفيذ عمليات احتيال عبر استبدال روابط التسوق الشرعية بروابط تسويق بالعمولة، خصوصاً على منصات مثل Taobao وJD.com، دون علم المستخدم.
GhostPoster: التسلل عبر صور وإضافات ترجمة
في حملة GhostPoster ، التي أصابت أكثر من مليون مستخدم ، استخدمت DarkSpectre أسلوباً أكثر تخفياً، عبر إضافات خاصة بمتصفح Firefox وأيضاً Opera. ومن أبرز الأمثلة التي تم توثيقها إضافة ظهرت في متجر Opera باسم Google™ Translate، نُشرت تحت حساب مطوّر غير معروف، وبدت كأداة ترجمة بسيطة.
في الواقع، كانت هذه الإضافة تزيل آليات الحماية من المواقع، وتفتح قناة خفية لتنفيذ أوامر عن بُعد، مع تعطيل أنظمة مكافحة الاحتيال. واعتمدت الحملة على إخفاء الشيفرات الخبيثة داخل صور PNG تُستخدم كأيقونات للإضافة، ليجري استخراجها وتنفيذها لاحقاً داخل المتصفح.
The Zoom Stealer: أدوات تحميل فيديو تتحول إلى أدوات تجسس
التحول الأخطر ظهر مع حملة The Zoom Stealer ، التي استهدفت نحو 2.2 مليون مستخدم ، وانتقلت من الاحتيال والمراقبة إلى التجسس المؤسسي المباشر . هذه الحملة دخلت إلى أجهزة المستخدمين عبر إضافات بدت بريئة مثل Twitter X Video Downloader ، وأدوات تحميل الفيديو من المنصات الاجتماعية، إضافة إلى أدوات تسجيل الصوت من المتصفح مثل Chrome Audio Capture ، التي تجاوز عدد مستخدميها وحدها 800 ألف مستخدم.
ورغم أن هذه الإضافات كانت تؤدي وظائفها المعلنة، فإنها في الخلفية كانت تجمع بيانات حساسة من منصات الاجتماعات الافتراضية مثل Zoom وMicrosoft Teams وGoogle Meet وWebEx. وشملت البيانات روابط الاجتماعات، ومعرّفات الجلسات، وكلمات المرور، وقوائم المشاركين، وحتى معلومات تفصيلية عن المتحدثين والشركات المنظمة للاجتماعات.
استراتيجية طويلة النفس وبناء ثقة ممنهج
تعتمد DarkSpectre على استراتيجية تقوم على التمويه والصبر، عبر نشر إضافات تعمل بشكل طبيعي تماماً لسنوات، ثم تفعيل قدراتها الخبيثة عبر أوامر خارجية دون أي تحديث ظاهر. وتشير التحقيقات إلى أن عشرات الإضافات المرتبطة بهذه الشبكة لا تزال نشطة وتبدو نظيفة حتى الآن، ما يعني أنها قد تتحول في أي لحظة إلى أدوات تجسس أو احتيال.
وأظهرت التحليلات أن البنية التحتية المستخدمة في التحكم ونقل البيانات تعتمد على خوادم مستضافة داخل الصين، مع وجود تعليقات ومتغيرات برمجية باللغة الصينية، وأنماط نشاط تتوافق مع ساعات العمل المحلية. كما لوحظ تركيز واضح على منصات التجارة الإلكترونية الصينية، ما يعزز فرضية الصلة الصينية بالعملية.
تهديد مستمر وثغرة في متاجر الإضافات
تكشف قضية DarkSpectre عن ثغرة جوهرية في نموذج عمل متاجر إضافات المتصفحات، حيث تُفحص الإضافة عند النشر فقط، بينما يمكن تغيير سلوكها لاحقاً عبر أوامر خارجية دون رقابة فعالة. وفي ظل هذا الواقع، تتحول إضافات شائعة مثل أدوات الترجمة، ومديري التبويبات، وأدوات تحميل الفيديو، إلى بوابات اختراق واسعة النطاق.
ويحذر خبراء الأمن السيبراني من أن ما كُشف حتى الآن قد لا يمثل سوى جزء من شبكة أكبر، في وقت لا يزال فيه ملايين المستخدمين يعتمدون يومياً على إضافات متصفح دون إدراك حجم المخاطر الكامنة خلفها.
