تحذير جديد يسلّط الضوء على جانب مظلم في متصفح Chrome، بعد أن كشف باحثون في الأمن السيبراني عن عشرات الإضافات الخبيثة التي تستغل ثقة المستخدمين، ليس فقط للتلاعب بروابط التسويق بالعمولة، بل أيضًا لسرقة بيانات حساسة، وصولًا إلى الاستيلاء الكامل على جلسات تسجيل الدخول الخاصة بخدمة ChatGPT، وفقا لـ thehackernews
موضوعات مقترحة
إضافة تبدو بريئة.. لكنها تغيّر الروابط في الخفاء
البداية كانت مع إضافة تحمل اسم Amazon Ads Blocker، والتي ظهرت على متجر Chrome Web Store على أنها أداة لحجب الإعلانات الممولة أثناء تصفح Amazon. الإضافة، التي نُشرت في يناير 2026 بواسطة جهة تُدعى 10Xprofit، كانت تؤدي وظيفتها المعلنة جزئيًا، لكنها في الخلفية كانت تنفذ سلوكًا أخطر بكثير.
بحسب تحليل أمني أجراه باحثون في شركة Socket، تقوم الإضافة تلقائيًا بفحص جميع روابط منتجات Amazon، واستبدال أي وسم تسويق بالعمولة موجود مسبقًا بوسم خاص بالمطور، دون أي تفاعل من المستخدم. وفي حال عدم وجود وسم أصلًا، يتم إلحاق الوسم الخبيث بالرابط مباشرة.
سرقة أرباح صُنّاع المحتوى دون علم المستخدم
روابط التسويق بالعمولة تُستخدم على نطاق واسع في مواقع الويب ومنصات التواصل الاجتماعي، حيث يحصل صانع المحتوى على عمولة عند إتمام عملية شراء عبر رابطه. الإضافات الخبيثة المكتشفة كانت تستهدف هذه الروابط تحديدًا، ما يعني أن أي مستخدم قام بتثبيت الإضافة سيتسبب - دون علمه - في تحويل العمولات من صُنّاع المحتوى الأصليين إلى الجهة الخبيثة.
هذا السلوك لا يضر المستخدم فقط، بل يضرب منظومة اقتصادية كاملة يعتمد عليها آلاف المراجعين والمبدعين حول العالم.
شبكة كاملة من الإضافات.. وليست حالة فردية
التحقيق أظهر أن Amazon Ads Blocker ليست حالة معزولة، بل جزء من شبكة تضم 29 إضافة متصفح، تستهدف منصات تجارة إلكترونية كبرى مثل Amazon وAliExpress وWalmart وShein وShopify وBest Buy. بعض هذه الإضافات كان يتنكر في صورة أدوات تتبع أسعار أو تحميل صور أو البحث بالصور، بينما كانت جميعها تشترك في هدف واحد: التلاعب بالروابط وجني العمولات سرًا.
بعض الإضافات ذهبت أبعد من ذلك، حيث قامت بجمع بيانات المنتجات وإرسالها إلى خوادم خارجية، أو عرض عدّادات وهمية لعروض «لفترة محدودة» لخلق إحساس زائف بالعجلة ودفع المستخدمين للشراء بسرعة.
انتهاك صارخ لسياسات Google
ما يجعل القضية أكثر خطورة أن هذه الممارسات تمثل خرقًا مباشرًا لسياسات Google الخاصة بمتجر Chrome، والتي تشترط الإفصاح الواضح عن استخدام روابط العمولة، ومنع أي تعديل تلقائي على الروابط دون تفاعل صريح من المستخدم، فضلًا عن حظر استبدال وسوم عمولة موجودة بالفعل.
الباحثون وصفوا ما حدث بأنه «موافقة زائفة»، حيث تختلف وظيفة الإضافة الحقيقية جذريًا عن الوصف المعروض للمستخدم.
التهديد الأخطر.. سرقة جلسات ChatGPT
الأمر لم يتوقف عند التلاعب التجاري. تحقيق منفصل كشف عن شبكة أخرى تضم 16 إضافة متصفح، صُممت خصيصًا لاستهداف مستخدمي ChatGPT. هذه الإضافات، التي تتنكر في صورة أدوات لإدارة المحادثات أو تنزيل الصوت أو تنظيم المطالبات، تقوم بحقن شيفرات داخل موقع chatgpt.com لاعتراض رموز المصادقة الخاصة بالمستخدمين.
امتلاك هذه الرموز يمنح المهاجم وصولًا كاملًا إلى حساب الضحية، بما يشمل سجل المحادثات، البيانات، الأكواد البرمجية، وأي محتوى حساس تمت مشاركته داخل ChatGPT.
لماذا تُعد الإضافات أداة هجوم مثالية؟
الإضافات تتمتع بصلاحيات واسعة داخل المتصفح، وغالبًا ما يوافق المستخدم عليها دون تمحيص. هذا يمنح المهاجمين وصولًا دائمًا للبيانات، دون الحاجة لاختراق تقني معقد أو استغلال ثغرات تقليدية قد تثير أنظمة الحماية.
ومع ازدياد اعتماد الشركات والأفراد على أدوات الذكاء الاصطناعي في سير العمل اليومي، أصبحت الإضافات المرتبطة بعلامات تجارية موثوقة هدفًا مثاليًا للهندسة الاجتماعية.
متصفحات الإنترنت.. ساحة الهجوم الجديدة
تزامنت هذه الاكتشافات مع ظهور أدوات إجرامية جديدة تُباع كخدمة، مثل حزمة تُعرف باسم Stanley، تتيح إنشاء إضافات Chrome خبيثة قادرة على عرض صفحات تصيد داخل إطار وهمي، مع الإبقاء على عنوان الموقع الحقيقي في شريط العنوان. هذه الخدعة البصرية تجعل حتى المستخدمين الحذرين عرضة للوقوع في الفخ.
خبراء الأمن يرون أن سياسات العمل عن بُعد، والاعتماد المتزايد على التطبيقات السحابية، حوّلت المتصفح نفسه إلى «نقطة النهاية» الجديدة للهجمات، وهو ما بدأ المهاجمون في استغلاله بكثافة.