كشفت شركة Socket المتخصصة في أمن سلاسل الإمداد البرمجية رصد حملة تقنية ممنهجة استهدفت موظفي المؤسسات الذين يعتمدون على منصات إدارة الموارد البشرية والعمليات المالية. اعتمدت هذه الحملة على نشر 5 ملحقات خبيثة عبر متجر Chrome Web Store، حيث تخفت هذه الإضافات تحت مسميات توحي بالإنتاجية أو توفير وصول مجاني لمزايا مدفوعة. وبحسب التقرير الصادر في منتصف يناير 2026، فإن المهاجمين نجحوا في تجاوز حاجز 2300 تثبيت، مستهدفين بشكل مباشر مستخدمي أنظمة كبرى مثل Workday وNetSuite وSAP SuccessFactors.
استراتيجية الهجوم ثلاثية الأبعاد داخل المتصفح
تعتمد هذه الحملة على هندسة تقنية دقيقة تعمل على 3 مستويات متداخلة لضمان السيطرة الكاملة على حسابات الضحايا. بدأت المرحلة الأولى بتركيز الملحقات على اقتناص ملفات تعريف الارتباط (Cookies) وبالأخص تلك التي تحمل الوسم __session، وهي المسؤولة عن حفظ رموز المصادقة النشطة. تستخرج هذه الإضافات الرموز وترسلها كل 60 ثانية إلى خوادم تحكم وسيطة مثل (api[.]databycloud[.]com)، ما يمنح المهاجمين قدرة على تجديد الدخول حتى في حال سجل المستخدم الخروج وعاود الدخول مرة أخرى.
تنتقل الخطوة التالية إلى مستوى أكثر تعقيداً يتمثل في حقن ملفات تعريف ارتباط مسروقة مباشرة في متصفح الضحية باستخدام واجهات برمجية مثل chrome.cookies.set. يسمح هذا الأسلوب للمهاجمين بفرض اختطاف الجلسات النشطة وتجاوز آليات التحقق المعتادة، وهو ما ظهر بوضوح في ملحق Software Access الذي جمع بين سرقة البيانات وحقنها في آن واحد لضمان استمرارية الاختراق.
شل قدرات الاستجابة الأمنية وتعمية الفرق التقنية
لم يكتفِ القائمون على هذه الحملة بسرقة البيانات، بل عمدوا إلى ابتكار وسيلة دفاعية تمنع مسؤولي النظام من تدارك الاختراق. فقد تضمنت ملحقات مثل Tool Access 11 وData By Cloud 2 برمجيات تقوم بمسح محتوى الصفحات الإدارية أو إعادة توجيه المشرفين إلى روابط معطوبة عند محاولتهم الدخول إلى لوحات التحكم الأمنية في منصة Workday.
شمل هذا التعطيل المتعمد ما يصل إلى 56 صفحة إدارية حساسة، منها الصفحات المسؤولة عن ضبط سياسات الدخول، وإدارة كلمات المرور، وتعطيل الحسابات المشبوهة، والوصول إلى سجلات التدقيق (Audit Logs). تهدف هذه الآلية إلى إرباك فرق الاستجابة للحوادث وإبطاء قدرتهم على احتواء التهديد، لمنح المهاجمين وقتاً إضافياً للتلاعب بالبيانات المالية أو الشخصية داخل الأنظمة المستهدفة دون رقابة.
تحليل البصمة التقنية وقائمة الملحقات المرصودة
أشار التقرير إلى وجود ترابط وثيق بين الملحقات الخمسة، ما يرجح وقوف جهة واحدة خلف هذه العمليات. وتتجلى وحدة المصدر في تماثل أنماط الكود البرمجي واستخدام مسارات موحدة لواجهات برمجة التطبيقات مثل /api/v1/mv3 عبر نطاقات مختلفة. كما تضمنت هذه الملحقات قائمة فحص داخلية ترصد وجود أدوات تحليلية أو إضافات أمنية لدى المستخدم، لتقييم مدى خطورة بيئة الضحية قبل البدء في تنفيذ العمليات التخريبية. وفيما يلي قائمة بالملحقات المتورطة ومعرفاتها الرقمية التي تمت إزالة معظمها من المتجر الرسمي:
- DataByCloud Access: (oldhjammhkghhahhhdcifmmlefibciph)
- Tool Access 11: (ijapakghdgckgblfgjobhcfglebbkebf)
- DataByCloud 1: (mbjjeombjeklkbndcjgmfcdhfbjngcam)
- DataByCloud 2: (makdmacamkifdldldlelollkkjnoiedg)
- Software Access: (bmodapcihjhklpogdpblefpepjolaoij)
على الرغم من حذف هذه الإضافات من متجر جوجل الرسمي، إلا أنها لا تزال تظهر في بعض المواقع الخارجية، مما يتطلب من مدراء النظم فحص أجهزة الموظفين والتأكد من خلوها من هذه المعرفات لضمان سلامة بيئة العمل الرقمية.
