كشف تقرير أمني حديث عن حملة إلكترونية خبيثة استمرت لسبع سنوات، نفذتها جهة تُعرف باسم “شيدي باندا” (ShadyPanda)، نجحت خلالها في تضمين إضافات متصفح ضارة جذبت أكثر من 4.3 مليون عملية تثبيت عبر المتصفحات المختلفة. اللافت أن خمس إضافات منها بدأت حياتها كبرامج شرعية ومفيدة، قبل أن تُحقن بتحديثات خبيثة في منتصف عام 2024، وهو ما يسلط الضوء على استراتيجية “النوم الطويل” حيث تكتسب الإضافات الشرعية ثقة المستخدمين ومنصات التوزيع لسنوات قبل أن تتحول إلى أدوات تجسس.
آليات التسلل: استغلال ثقة المنصات وآلية التحديث التلقائي
اعتمدت الحملة على استغلال آلية التحديث التلقائي في متصفحات مثل كروم وإيدج، والتي صُممت أصلاً لحماية المستخدمين. فبعد اكتساب الإضافات للشرعية وعدد كبير من المستخدمين، قام المهاجمون بإصدار تحديثات ضارة بشكل صامت. ومن أبرز الأمثلة إضافة “كلين ماستر” (Clean Master) التي حصلت في وقت سابق على علامة “موثوقة” من جوجل نفسها، مما ساعدها في جذب قاعدة مستخدمين أوسع قبل تحولها للجانب المظلم.
تعمل الإضافات المحدّثة على تنزيل وتنفيذ أكواد جافا سكريبت خبيثة عن بُعد كل ساعة، تتمتع بصلاحيات وصول كاملة إلى المتصفح. وتقوم بمراقبة كل موقع ويب يزوره المستخدم، وجمع سجل التصفح المشفر، وأخذ “بصمة متصفح” كاملة عن الضحية، وإرسال كل هذه البيانات إلى خوادم يُشتبه في وجودها بالصين.
تطور التهديد: من الاحتيال التسويقي إلى التجسس الشامل
مرت الحملة بأربع مراحل متطورة، بدأت في 2023 بإضافات تقدم نفسها كتطبيقات خلفيات أو إنتاجية، وكان نشاطها الأولي يركز على الاحتيال بالعمولة من خلال حقن أكواد تتبع خفية عندما يزور المستخدمون مواقع مثل إيباي أو أمازون. ثم تطور الهجوم في 2024 ليشمل السيطرة الفعلية على المتصفح عبر تحويل واستغلال استفسارات البحث وجمع ملفات تعريف الارتباط (كوكيز) من نطاقات محددة.
بلغت الحملة ذروتها في منتصف 2024 عندما حُقنت خمس إضافات قديمة بوظائف تشبه الباب الخلفي (Backdoor)، تمكنت من تنفيذ هجمات “الرجل في المنتصف” (AitM) لتسهيل سرقة بيانات الاعتماد، وخطف الجلسات، وحقن أكواد خبيثة في أي موقع ويب. كما تمتلك قدرات لجمع معلومات تفصيلية عن تفاعل الضحية مع الصفحات، مثل وقت المشاهدة وسلوك التمرير.
درس أمني صارخ: ثغرة ما بعد الموافقة على الإضافات
تكشف حملة “شيدي باندا” عن ثغرة منهجية خطيرة في منظومة أمن متصفحات الويب، حيث تركز منصات مثل متجر كروم الإلكتروني و”إيدج أدونز” على مراجعة الإضافات فقط عند تقديمها للمرة الأولى، دون وجود رقابة حقيقية ومستمرة على السلوك الذي تتبناه بعد الحصول على الموافقة. وهذا ما سمح للمهاجمين بالتحول التدريجي من أدوات منتجة إلى منصات مراقبة دون إثارة الشكوك.
لا يزال بعض هذه الإضافات، مثل “وي تاب” (WeTab) التي تجاوزت تثبيتها 3 ملايين، متاحاً للتحميل في وقت كتابة هذه السطور. يُنصح جميع المستخدمين بمراجعة إضافات المتصفحات لديهم وإزالة أي إضافة مشبوهة أو غير ضرورية، وتغيير كلمات المرور الخاصة بهم كإجراء وقائي.
