تحليل مخاطر أمان ملحق Chrome SwitchyOmega وتوصيات للوقاية

مؤخراً، أبلغ العديد من المستخدمين أن ملحق التبديل المعروف SwitchyOmega قد يحتوي على مخاطر أمان قد تؤدي إلى سرقة المفاتيح الخاصة. بعد التحقيق، تم اكتشاف أن هذه المشكلة ظهرت في العام الماضي، لكن بعض المستخدمين قد لا يكونوا قد انتبهوا لرسائل التحذير، وما زالوا يستخدمون إصدار الملحق الملوث، مما يعرض حساباتهم لمخاطر جسيمة مثل الاختراق.

مراجعة الحدث

تعود جذور هذه الحادثة إلى تحقيق في هجوم إلكتروني. في 24 ديسمبر 2024، تعرض أحد موظفي شركة لهجوم عبر بريد إلكتروني مزيّف، مما أدى إلى إدخال كود خبيث في ملحق المتصفح الذي أصدره، في محاولة لسرقة ملفات تعريف الارتباط وكلمات المرور الخاصة بمستخدمي المتصفح. أظهرت التحقيقات المستقلة أن أكثر من 30 ملحقًا من متجر جوجل تعرضت لهجمات مماثلة، بما في ذلك Proxy SwitchOmega (V3).

استغل المهاجمون واجهة تفويض OAuth المزورة للاستيلاء على حسابات المطورين، ثم قاموا بتحميل إصدار جديد من الملحق يحتوي على رمز خبيث. باستخدام آلية التحديث التلقائي في Chrome، قام المستخدمون المتأثرون بالتحديث إلى الإصدار الخبيث دون علمهم.

تم إصدار نسخة من الملحق الضار في الساعة 12:00 صباحًا يوم 25 ديسمبر، وتم إزالته في الساعة 12:00 صباحًا يوم 26، مما يعني أنه كان موجودًا لمدة حوالي 31 ساعة. خلال هذه الفترة، كان متصفح Chrome الذي يستخدم هذا الملحق يقوم تلقائيًا بتنزيل وتثبيت الشيفرة الضارة.

أفادت تقرير التحقيق أن عدد التنزيلات التراكمية للإضافات المتأثرة في متجر جوجل تجاوز 500000 مرة، وقد تكون البيانات الحساسة في أكثر من 2.6 مليون جهاز مستخدم قد سُرقت. كانت هذه الإضافات المعدلة موجودة في متجر التطبيقات لمدة تصل إلى 18 شهرًا، وكان من الصعب على المستخدمين اكتشاف تسرب البيانات.

نظرًا لأن متجر Chrome بدأ في إيقاف دعم الإضافات من الإصدار V2 تدريجياً، فإن النسخة الرسمية الأصلية من SwitchyOmega هي إصدار V2، وبالتالي فهي أيضًا خارج نطاق الدعم. حساب المطورين للإصدار V3 الملوث مختلف عن النسخة الأصلية، ولا يمكن التأكد مما إذا كانت إصدارًا رسميًا أو إذا تم اختراق الحساب.

توصي الفريق الأمني المستخدمين بالتحقق من معرفات الملحقات المثبتة، والتأكد مما إذا كانت النسخة رسمية. إذا تم اكتشاف ملحقات متأثرة، يجب تحديثها على الفور إلى أحدث إصدار آمن أو إزالتها مباشرة لتقليل مخاطر الأمان.

طرق منع تعديل الإضافات

لتجنب تعديل المكونات الإضافية أو تنزيل مكونات إضافية ضارة، يجب على المستخدمين اتخاذ تدابير أمنية جيدة من ثلاثة جوانب: التثبيت، الاستخدام، والإدارة:

1. قم بتنزيل الإضافات فقط من القنوات الرسمية
2. كن حذرًا من طلبات أذونات المكونات الإضافية
3. تحقق دوريًا من الإضافات المثبتة
4. استخدام أدوات احترافية لمراقبة تدفق الأموال، لمنع خسارة الأصول

يجب على مطوري الملحقات اتخاذ تدابير أمان أكثر صرامة:

1. تعزيز التحكم في الوصول OAuth
2. تعزيز أمان حساب متجر Chrome الإلكتروني
3. إجراء تدقيق أمني دوري
4. رصد ما إذا كانت الإضافات تُختطف

نصائح للتعامل مع المكونات الإضافية التي تم زرعها برموز خبيثة

إذا تم اكتشاف أن الإضافات قد تم إصابتها برمز خبيث أو يوجد بها مخاطر، يُنصح باتخاذ التدابير التالية:

1. إزالة المكون الإضافي على الفور
2. تغيير المعلومات الحساسة التي قد تتسرب
3. مسح النظام، والتحقق من وجود أبواب خلفية أو برامج ضارة
4. مراقبة ما إذا كانت هناك أنشطة غير عادية في الحساب
5. قدم ملاحظات رسمية لمنع المزيد من المستخدمين من التعرض للضرر

على الرغم من أن الإضافات في المتصفح يمكن أن تعزز تجربة المستخدم، إلا أنها قد تصبح أيضًا نقطة انطلاق لهجمات القراصنة. يجب على المستخدمين أن يظلوا يقظين ويكتسبوا عادات أمان جيدة. في الوقت نفسه، يجب على المطورين والجهات المعنية تعزيز تدابير الحماية الأمنية لضمان أمان وامتثال الإضافات. فقط من خلال الجهود المشتركة لجميع الأطراف، وزيادة الوعي الأمني وتنفيذ تدابير الحماية الفعالة، يمكن تقليل المخاطر حقًا وحماية البيانات والأصول.