سطح الهجوم المختبئ على مرأى من الجميع
يفتح كل موظف في المؤسسة متصفحاً عشرات المرات يومياً، وكاد كل واحد منهم قد حمّله بإضافات اختارها بنفسه. وفقاً لـ تقرير LayerX لأمن إضافات المتصفح المؤسسي 2025، فإن 99% من موظفي المؤسسات لديهم إضافة واحدة على الأقل، و52% يشغلون أكثر من عشر إضافات. ومع ذلك، لا تملك معظم فرق الأمن أي جرد لما يعمل داخل متصفحات مستخدميهم.
الأرقام وراء هذه النقطة العمياء مذهلة. 53% من الإضافات المستخدمة في البيئات المؤسسية تطلب أذونات مصنفة عالية أو حرجة الخطورة، مما يعني أنها تستطيع قراءة ملفات تعريف الارتباط واعتراض كلمات المرور والوصول إلى سجل التصفح وتعديل محتوى أي صفحة ويب يزورها المستخدم. أكثر من نصف ناشري الإضافات (54%) مجهولون، لا يمكن تحديد هويتهم إلا من خلال عنوان Gmail، و79% نشروا إضافة واحدة فقط، مما يجعل التدقيق القائم على السمعة شبه مستحيل.
من التصيد إلى اختطاف سلسلة التوريد
تحول المهاجمون من توزيع إضافات خبيثة مستقلة إلى اختطاف إضافات موثوقة عبر اختراقات سلسلة التوريد. جاء المثال الأبرز في 24 ديسمبر 2024، عندما منح بريد إلكتروني احتيالي يستهدف أحد مطوري Cyberhaven المهاجمين صلاحية نشر تحديث مسموم لإضافة Chrome الخاصة بالشركة. نظراً لأن Chrome يحدّث الإضافات بصمت وتلقائياً، تلقى حوالي 400,000 مستخدم النسخة الخبيثة خلال ساعات. استخرج الكود المعدل ملفات تعريف الارتباط والجلسات المصادق عليها من مواقع ويب مستهدفة، كل ذلك بينما واصلت الإضافة الأصلية عملها بشكل طبيعي.
كشف التحقيق اللاحق عن حملة أوسع. تم اختراق 36 إضافة Chrome على الأقل باستخدام نفس أسلوب التصيد، مما أثر إجمالاً على أكثر من 2.6 مليون مستخدم. استهدف المهاجمون مطوري الإضافات تحديداً لأن حساباً واحداً مخترقاً يمكنه دفع كود خبيث لكل مستخدم مثبت للإضافة، وهو تأثير تضخيمي لا يمكن لتوزيع البرمجيات الخبيثة التقليدي مضاهاته.
إعلان
سرقة بيانات الاعتماد على نطاق واسع
بالإضافة إلى هجمات سلسلة التوريد، تستهدف الإضافات الخبيثة المصممة خصيصاً منصات المؤسسات بشكل متزايد. في يناير 2026، اكتشفت شركة الأمن Socket خمس إضافات Chrome تتنكر كأدوات إنتاجية لـ Workday وNetSuite وSAP SuccessFactors. تم تثبيتها أكثر من 2,300 مرة، وكانت هذه الإضافات تستخرج ملفات تعريف ارتباط المصادقة كل 60 ثانية، وترسلها إلى خوادم قيادة وتحكم منحت المهاجمين وصولاً مستمراً لأنظمة الموارد البشرية وتخطيط موارد المؤسسات.
الأكثر تطوراً من بين الخمس، المسماة “Software Access”، ذهبت أبعد: استخدمت حقن ملفات تعريف الارتباط ثنائي الاتجاه عبر واجهة `chrome.cookies.set()` لزرع رموز جلسات مسروقة مباشرة في متصفح المهاجم، متجاوزة المصادقة متعددة العوامل بالكامل. وقامت اثنتان أخريان بحجب وصول المسؤولين إلى صفحات تغيير كلمة المرور وسجل تسجيل الدخول، مما يمنع الكشف أثناء استمرار الهجوم.
على نطاق أوسع، كشفت عملية DarkSpectre، التي فُضحت في ديسمبر 2025، عن حملة استمرت سبع سنوات من قبل جهة تهديد صينية أصابت 8.8 مليون متصفح عبر Chrome وEdge وFirefox من خلال 18 إضافة. إحدى الحملات، المسماة Zoom Stealer، جمعت تحديداً عناوين URL لاجتماعات الشركات وكلمات المرور المدمجة وقوائم المشاركين، وهي معلومات استخبارية ذات قيمة مباشرة للتجسس على الشركات.
مشكلة إضافات الذكاء الاصطناعي التوليدي
بُعد أحدث من المخاطر ينبع من التبني السريع لإضافات المتصفح الخاصة بالذكاء الاصطناعي التوليدي. كشف تقرير LayerX أن أكثر من 20% من موظفي المؤسسات يستخدمون الآن إضافة GenAI واحدة على الأقل، و58% من هذه الإضافات تحمل أذونات عالية أو حرجة الخطورة. تقرأ هذه الأدوات غالباً المحتوى الكامل لكل صفحة يزورها المستخدم لتقديم مساعدة سياقية، مما يعني أن المستندات الحساسة ولوحات التحكم الداخلية والبيانات المملوكة تُمرر بصمت عبر بنية تحتية خارجية.
بالاقتران مع حقيقة أن 51% من جميع الإضافات المؤسسية لم تُحدث منذ أكثر من عام و26% محملة جانبياً (مثبتة مباشرة بواسطة تطبيق آخر، متجاوزة فحص المتجر بالكامل)، فإن النتيجة هي سطح هجوم يصبح أكثر خطورة كلما بقي غير مُدار.
ما يجب أن تفعله المؤسسات الآن
الانتقال من إضافات غير مُدارة إلى إضافات محكومة لا يتطلب استبدال المتصفحات أو حظر جميع الإضافات. يتطلب الرؤية والسياسات والمراقبة المستمرة.
بناء جرد كامل للإضافات. استخدم واجهات برمجة إدارة المتصفح أو أدوات المتصفح المؤسسي لتعداد كل إضافة في المؤسسة، والإبلاغ عن الأذونات، والمقارنة مع قواعد بيانات الإضافات الخبيثة المعروفة. لا يمكنك تأمين ما لا يمكنك رؤيته.
تطبيق تثبيت الإصدار مع تأخير التحديثات. بدلاً من الاعتماد على آلية التحديث الصامت في Chrome التي نشرت هجوم Cyberhaven خلال ساعات، ثبّت إصدارات الإضافات وأدخل تأخيراً في التحديث من 48 إلى 72 ساعة. هذا يخلق نافذة لمجتمع الأمن لاكتشاف التحديثات المخترقة والإبلاغ عنها قبل وصولها إلى أجهزتك.
إنشاء قائمة بيضاء للإضافات. انتقل من وضع السماح الافتراضي إلى وضع الرفض الافتراضي. يجب أن تكون فقط الإضافات المعتمدة مسبقاً ذات الناشرين الموثقين والأذونات المبررة قابلة للتثبيت. انتبه بشكل خاص لإضافات الذكاء الاصطناعي التوليدي، التي تطلب غالباً أذونات تتجاوز بكثير وظيفتها المعلنة.
مراقبة الشذوذ السلوكي. الإضافات التي تبدأ فجأة في إجراء اتصالات شبكية مع نطاقات غير مألوفة، أو الوصول إلى ملفات تعريف الارتباط خارج نطاقها المعلن، أو تعديل محتوى الصفحات على منصات المؤسسات يجب أن تُطلق تنبيهات آلية. صُممت هجمات سلسلة التوريد لتبدو طبيعية على مستوى الأذونات — الكشف السلوكي يلتقط ما يفوت التحليل الثابت.
الأسئلة الشائعة
لماذا تُعتبر إضافات المتصفح نقطة عمياء أمنية للمؤسسات؟
تعمل إضافات المتصفح داخل المتصفح بأذونات ممنوحة عند التثبيت، لكنها تقع خارج نطاق رؤية أدوات الأمن التقليدية مثل كشف نقاط النهاية (EDR) ومنع تسرب البيانات (DLP) ومراقبة الشبكة. كشف تقرير LayerX 2025 أن 99% من الموظفين لديهم إضافات مثبتة، لكن معظم فرق الأمن لا تحتفظ بأي جرد لها. هذا يخلق سطح هجوم غير مراقب حيث يمكن للإضافات الخبيثة أو المخترقة تسريب البيانات دون إطلاق أي تنبيه.
كيف عمل هجوم سلسلة التوريد على Cyberhaven؟
في 24 ديسمبر 2024، أرسل المهاجمون بريداً إلكترونياً احتيالياً إلى أحد مطوري Cyberhaven بدا أنه من Chrome Web Store. بعد الحصول على بيانات اعتماد المطور، نشروا تحديثاً مسموماً لإضافة Chrome الشرعية لـ Cyberhaven. دفعت آلية التحديث الصامت في Chrome النسخة الخبيثة إلى حوالي 400,000 مستخدم خلال ساعات. سرّقت الإضافة المخترقة ملفات تعريف الارتباط والجلسات المصادق عليها مع استمرارها في العمل بشكل طبيعي، مما جعل الكشف صعباً للغاية.
ما الذي يمكن للمؤسسات فعله لتقليل مخاطر الإضافات دون حظرها جميعاً؟
يمكن للمؤسسات اتخاذ ثلاث خطوات عملية: أولاً، بناء جرد كامل للإضافات باستخدام واجهات برمجة إدارة المتصفح لتحديد كل إضافة مثبتة وأذوناتها. ثانياً، تطبيق تثبيت الإصدار مع تأخير تحديث من 48 إلى 72 ساعة، مما يخلق حاجزاً ضد هجمات سلسلة التوريد التي تستغل التحديثات التلقائية. ثالثاً، الانتقال من السماح الافتراضي إلى سياسة القائمة البيضاء، حيث يُسمح فقط بتثبيت الإضافات المعتمدة مسبقاً ذات الناشرين الموثقين. توفر هذه الإجراءات حماية قوية دون إلغاء فوائد الإنتاجية للإضافات الشرعية.
المصادر والقراءات الإضافية
- Majority of Browser Extensions Can Access Sensitive Enterprise Data — The Hacker News
- LayerX Enterprise Browser Extension Security Report 2025 — GlobeNewsWire
- Cyberhaven Supply Chain Attack: Exploiting Browser Extensions — Darktrace
- Five Malicious Chrome Extensions Impersonate Workday and NetSuite — The Hacker News
- DarkSpectre Browser Extension Campaigns Exposed After Impacting 8.8 Million Users — The Hacker News
- Several Chrome Extensions Compromised in Supply Chain Attack — SecurityWeek
- The Hidden Cybersecurity Risk in Your Browser Extensions — Barracuda Networks
🔗 مقالات ذات صلة
المتصفح كساحة معركة: الهجمات من جانب العميل وMagecart والحدود الجديدة لأمن الويب
تعامل مع أمن الوكلاء كما تتعامل مع الأمن السيبراني: الصلاحيات والمراقبة وأزرار الإيقاف
افتراض الاختراق: لماذا باتت المرونة السيبرانية تتفوق على الأمن السيبراني التقليدي
هجمات حقن التعليمات: الثغرة الأمنية المتأصلة في كل تطبيق ذكاء اصطناعي
