كشفت شركة Koi Security عن حملة برمجيات خبيثة طويلة الأمد تُعرف باسم ShadyPanda، استهدفت متصفحي جوجل كروم ومايكروسوفت إيدج عبر تحويل إضافات شرعية إلى أدوات تجسس، في واحدة من أخطر الهجمات التي تعتمد على استغلال الثقة في التحديثات الرسمية للإضافات.

وبحسب التقرير، عمل القائمون على ShadyPanda على استغلال نظام التحديث التلقائي للإضافات، حيث أضافوا ميزات ضارة بمرور الوقت دون الحاجة إلى أي عمليات تصيد أو هندسة اجتماعية.

وظهرت الإضافات بشكل طبيعي منذ عام 2018، لكن السلوك الخبيث بدأ فعليًا في عام 2023، حين بدأت إضافات تُقدّم نفسها كخلفيات أو أدوات إنتاجية بحقن أكواد تجسس داخل المتصفح، من خلال20 إضافة خبيثة على متجر كروم الإلكتروني، 125 إضافة على متجر إيدج.

وقد أكد متحدث باسم مايكروسوفت، إزالة جميع الإضافات المُعلَّمة، قائلًا: "عندما نعثر على محتوى ينتهك سياساتنا، نزيله أو ننهي اتفاقية النشر"، بعض الإضافات تجاوز عدد تثبيتها 3 ملايين مستخدم، رغم احتمالية المبالغة في الأرقام.

ورغم قيام جوجل بإزالة الإضافات من متجر كروم، لا يزال عدد من الإضافات المصابة موجودًا على منصة إيدج.

أوضحت Koi Security أن التحديثات الأخيرة لتلك الإضافات حوّلتها إلى أنظمة مراقبة متقدمة، إذ قامت بتتبع نشاط المستخدم وجمع سجل التصفح، مع تسجيل ضغطات المفاتيح وسرقة بيانات الاعتماد وملفات تعريف الارتباط.

وقد سمحت استغلال ثغرات بتنفيذ تعليمات برمجية عن بُعد، ما منح المهاجمين وصولًا كاملًا للمتصفح، وهذه القدرات مكّنت المهاجمين من تنفيذ هجمات متقدمة.

1. حذف الإضافات المشبوهة فورًا
خصوصًا الخلفيات وإضافات الإنتاجية غير المعروفة.

2. إعادة تعيين جميع كلمات المرور
وإن أمكن، استخدام مدير كلمات مرور لإنشاء كلمات قوية وفريدة.

3. تثبيت برنامج مكافحة فيروسات
يفضل أن يدعم حماية المتصفح ضد البرمجيات الضارة وبرامج التجسس.

4. تقليل عدد الإضافات المثبتة
وعدم تثبيت أي إضافة دون مراجعة التقييمات والأذونات بدقة.

وتؤكد هذه الحملة أهمية إدارة الإضافات بعناية، إذ يمكن لتحميل إضافة واحدة غير موثوقة أن يمنح المهاجمين وصولًا واسعًا إلى البيانات الشخصية، ما يجعل الأمن الرقمي ضرورة يومية لا غنى عنها.