كتب : سمح سعيد

كشفت شركة جوحل  ، العالمية للتكنولوجيا ، عن حذف عدد 32 من الإضافات الخبيثة من Chrome Web Store يمكن أن تقوم بتعديل نتائج البحث وإرسال رسائل عشوائية أو إعلانات غير مرغوب
فيها. بشكل جماعي، بلغ عدد التنزيلات لهذه الإضافات 75 مليونًا.

تتميز هذه الإضافات بوظائف مشروعة لإخفاء سلوكها الخبيث، حيث تأتي برمز
مُبهم لتسليم الحمولات الخبيثة.

قام الباحث في أمان المعلومات Wladimir Palant، بتحليل إضافة PDF Toolbox
(2 مليون تنزيل) المتاح في Chrome Web Store واكتشف أنه تضمن كوداً تم
إخفاؤه على أنه غلاف شرعي لواجهة برمجية التطبيقات API.

في تقرير نُشر في منتصف مايو، أوضح الباحث أن الرمز يسمح لنطاق "serasearchtop[.]com" بحقن او ادخال كود JavaScript في أي موقع يزوره
المستخدم.

تتراوح إمكانية الاستغلال من إدراج الإعلانات في صفحات الويب إلى سرقة المعلومات الحساسة. ومع ذلك، لم يشهد Palant أي نشاط ضار، وبالتالي فإن غرض الشفرة غير واضح.

لاحظ الباحث أيضًا أن الكود مُعدّ للتنشيط بعد 24 ساعة من تثبيت الإضافة، وهذا السلوك يرتبط عادةً بالنوايا الخبيثة.

قام Palant بنشر مقالة حول هذه القضية ليحذر من اكتشافه نفس الشفرة المشبوهة في 18 إضافة أخرى في Chrome، يبلغ إجمالي عدد التنزيلات لها 55 مليونًا. تتضمن بعض الأمثلة ما يلي:

Autoskip for Youtube – 9 million active users

Soundboost – 6.9 million active users

Crystal Ad block – 6.8 million active users

Brisk VPN – 5.6 million active users

Clipboard Helper – 3.5 million active users

Maxi Refresher – 3.5 million active users


في وقت نشر Palant للمقالة، كانت جميع الإضافات لا تزال متاحة في متجر
Chrome Web Store.

في متابعة لتحقيقه، اكتشف Palant نوعين مختلفين من الشفرة: الأول يتنكرفي شكل متصفح Polyfill التابع لمتصفح Mozilla's WebExtension، والثاني
يتنكر بأنه مكتبة "Day.js".

ومع ذلك، فإن كلا الإصدارين يتميزان بنفس آلية حقن او ادخال كود
JavaScript التي تشمل نطاق serasearchtop[.]com.

على الرغم من عدم ملاحظة الباحث أي نشاط خبيث واضح، فإنه لاحظ وجود العديد من تقارير المستخدمين والمراجعات على متجر الويب تشير إلى أن الإضافات تقوم بإعادة التوجيهات واختطاف نتائج البحث search result
hijacking.

على الرغم من محاولاته للإبلاغ عن الإضافات المشبوهة إلى Google، فقد استمرت في إتاحتها للمستخدمين عبر متجر Chrome Web Store.

وأعلنت شركة الأمن السيبراني Avast أنها أبلغت شركة جوجل عن الإضافات بعد التأكد من طبيعتها الخبيثة، وقد قامت بتوسيع القائمة لتشمل 32 إضافة ويبلغ إجمالي عدد التنزيلات لهذه الإضافات 75 مليونًا.

كما أفادت أن الإضافات، على الرغم من أنها تبدو غير ضارة للمستخدمين، فإنها هي عبارة عن برامج إعلانية تختطف نتائج البحث لعرض الروابط الدعائية والنتائج المدفوعة، وفي بعض الأحيان تقدم روابط خبيثة.

استجابةً على طلب التعليق من BleepingComputer قبل أن تنشر Avast
نتائجها، قال المتحدث باسم Google: "تمت إزالة الإضافات المُبلَّغ عنها
من متجر Chrome Web Store".

قام ممثل Google بتوضيح "نحن نأخذ الادعاءات المتعلقة بأمان وخصوصية الإضافات على محمل الجد، وعندما نجد إضافات تنتهك سياساتنا، نتخذ التدابير المناسبة "كما أضاف "متجر Chrome Web Store لديه سياسات معمول بها لحماية المستخدمين وجميع المطورين يجب أن يلتزموا بها".

تسلط Avast الضوء على التأثير الكبير للإضافات، التي استهدفت عشرات الآلاف من عملائها وربما ملايين حول العالم.

بالنسبة لعملائها، قامت Avast بشكل انتقائي بتحديد العناصر الخبيثة داخل الإضافات فقط، مما يتيح للميزات الشرعية الاستمرار في العمل دون انقطاع.

على الرغم من أن عدد التنزيلات البالغ 75 مليونًا يبدو مثيرًا للقلق، فإن الشركة تشتبه في أن العدد تم "تضخيمه بشكل مصطنع". يمكن العثور على قائمة
كاملة بالإضافات الخبيثة في تقرير Avast.

يجب على المستخدمين ملاحظة أن إزالة الإضافات من متجر Chrome Web Store لا تقوم تلقائيًا بإلغاء تنشيطها أو إلغاء تثبيتها من متصفحاتهم، لذلك يلزم اتخاذ إجراء يدوي لإزالة المخاطر.