تهديدات

امتدادات خبيثة على Chrome وEdge وFirefox تجمع بيانات الاجتماعات

تكشف حملة DarkSpectre كيف يمكن لامتداد بسيط أن يتحول إلى أداة مراقبة واسعة داخل بيئات العمل والشركات

تم النشر في Jan. 01, 2026

امتدادات خبيثة على Chrome وEdge وFirefox تجمع بيانات الاجتماعات — https://go.cybersecuritycast.com/vdmxfh

كشفت تحقيقات أمنية عن حملة معقدة ومنظمة حملت الاسم الرمزي DarkSpectre، وتمكنت من اختراق 8.8 مليون جهاز عبر متصفحات Chrome وEdge وFirefox.

البداية كانت عبر امتدادات خبيثة وزعت في 3 حملات متسلسلة، عرفت بأسماء ShadyPanda وGhostPoster وZoom Stealer. لم تعتمد هذه الحملات على وسائل خرق تقليدية، بل تسللت بهدوء من داخل المتاجر الرسمية نفسها، وعملت بأسلوب متدرج ومتقن على تثبيت موطئ قدمها في بيئات المستخدمين.

من الامتدادات إلى الاجتماعات

ركزت الحملة الأحدث من بينها، Zoom Stealer، على منصات الاجتماعات المرئية مثل Zoom وMicrosoft Teams وGoogle Meet، واستهدفت بدقة بيانات الاجتماعات، بما يشمل الروابط ومعرفات الجلسات وكلمات المرور المدمجة وعناوين اللقاءات، بالإضافة إلى أسماء المشاركين والمضيفين وصور ملفاتهم التعريفية. يعد هذا النوع من البيانات حساساً بدرجة عالية لأنه يكشف تفاصيل تنظيمية يمكن استغلالها في حملات انتحال شخصية أو تصيد مستهدف.

يجرى نقل هذه البيانات مباشرة عبر قنوات WebSocket إلى خوادم خارجية. وهذا ما يجعل الخطر مضاعفاً، لأن تسريب البيانات يتم في اللحظة نفسها التي يجري فيها المستخدم نشاطه، دون أن تظهر عليه أي مؤشرات غير طبيعية. ما يزيد القلق أن بعض هذه الامتدادات، عند تثبيتها، لا تطلب صلاحيات غير معتادة. بل تعمل بصمت، وتبدأ نشاطها بعد أيام، حتى لا تثير انتباه أنظمة مراجعة المتاجر.

نطاقات شرعية بأهداف خبيثة

لم تكن هذه الحملة قائمة فقط على الامتدادات المصممة للظهور بمظهر مفيد. إذ أظهرت التحقيقات أن القائمين عليها استخدموا نطاقات ذات مظهر شرعي لتقديم خدمات فعلية، وفي الوقت نفسه لنقل شيفرات خبيثة مخفية داخل صور أو شعارات. سمح هذا النهج للامتدادات بالاستمرار لسنوات داخل متاجر رسمية دون رصدها، خصوصاً مع اعتمادها على تفعيل تدريجي للسلوك الخبيث، وتشغيله على عدد محدود من المستخدمين في كل مرة.

على المستوى الجغرافي، توصل الباحثون إلى مؤشرات فنية ترجح ارتباط الحملة بجهات داخل الصين. وجاءت هذه الترجيحات استناداً إلى عوامل مثل الاستضافة على Alibaba Cloud، وتعليقات في الشيفرة باللغة الصينية، وتسجيلات نطاقات مرتبطة بمؤسسات صينية، بالإضافة إلى توقيت النشاط الذي يتوافق مع ساعات العمل في الصين. كل هذه المؤشرات ليست دليلاً قاطعاً لكنها تبني صورة منطقية عن أصل الهجوم.

المشكلة الأعمق تكمن في أن الامتداد يبدو آمناً في واجهته وسلوكه الظاهري. قد يؤدي مهاماً مفيدة، ويمنح المستخدم تجربة محسنة، لكن خلف هذه الواجهة، يعمل كأداة تجسس قادرة على جمع معلومات شديدة الحساسية من بيئات عمل احترافية، بما في ذلك فرق مبيعات وتنفيذيين ومقدمي خدمات. وهذا ما يحول الامتدادات من مكون بسيط في المتصفح إلى حلقة ضمن سلسلة توريد برمجيات تتطلب عناية خاصة.

التوصيات والإجراءات

من هذا المنطلق، يوصى الأفراد والمؤسسات على حد سواء باتخاذ عدد من الإجراءات العاجلة. أول هذه الإجراءات يتمثل في مراجعة الامتدادات المثبتة على المتصفح، والتخلص من أي امتداد غير ضروري أو غير معروف المصدر. كما يجب تفعيل سياسة مؤسسية صارمة تقيّد تثبيت الامتدادات على الأجهزة المهنية، مع السماح فقط لتلك التي خضعت لتدقيق وموافقة أمنية.

كما يوصى بالرصد المستمر للاتصالات الخارجة من المتصفح، خصوصاً عبر WebSocket، وإعادة ضبط إعدادات الاجتماعات، وتجنب استخدام روابط عامة تتضمن كلمات مرور، مع تفعيل غرف الانتظار وتشديد الضوابط على من يمكنه الانضمام للاجتماع.

في ضوء ما سبق، يتبين أن التهديد لم يعد يقتصر على الرسائل المشبوهة أو الروابط الملغومة، بل بات يعيش داخل أدوات نستخدمها يومياً. والاعتماد المفرط على شارات الثقة داخل المتاجر الرسمية لم يعد كافياً لحماية المستخدمين. لأن التهديد بات أذكى، وأكثر تخفياً، ولا يحتاج سوى نافذة صغيرة داخل المتصفح ليتسلل إلى ما هو أعمق بكثير من مجرد سجل التصفح.