يشهد متصفح موزيلا فايرفوكس مؤخراً ظهور ثغرة أمنية مقلقة تُعرف باسم "GhostPoster". يتمحور هذا الهجوم الماكر حول إخفاء شيفرات جافا سكريبت ضارة داخل أيقونات (شعارات) إضافات المتصفح المثبتة. يمثل هذا الخطر تهديداً واسع النطاق، خاصة وأن الحملة تستهدف الإضافات التي تجاوز عدد تنزيلاتها حاجز الخمسين ألف مستخدم، مما يستدعي اتخاذ إجراءات فورية للحماية. سوف نستعرض تفاصيل هذا الخطر وكيفية تأمين بيئة التصفح الخاصة بك.
- ✅ اكتشاف تهديد "GhostPoster" الذي يستغل أيقونات الإضافات لإخفاء الشفرات الخبيثة.
- ✅ الهدف الأساسي للمهاجمين هو زرع برمجيات خبيثة لضمان مراقبة مستمرة لنشاط المتصفح.
- ✅ تم الكشف عن هذه الثغرة بواسطة شركة Koi Security الأمنية في تقرير نشر بتاريخ 16 ديسمبر.
- ✅ تتضمن الآثار الجانبية استغلال روابط التسويق بالعمولة وحقن أكواد لتتبع النقرات والإعلانات.
آلية عمل هجوم GhostPoster واستغلاله للبيانات
يتيح هذا الكود الخبيث للمهاجمين إمكانية الوصول المستمر والواسع النطاق إلى متصفح الضحية. هذا الوصول لا يقتصر فقط على المراقبة، بل يمتد لاستغلال الثغرة في تحقيق مكاسب مالية عبر تفعيل روابط التسويق بالعمولة بطرق احتيالية، بالإضافة إلى حقن أكواد تيسر عمليات التتبع المعقدة أو الاحتيال في النقرات والإعلانات. إن القدرة على التسلل عبر أيقونة PNG بسيطة هي دلالة على مدى تطور أساليب التهديدات الحديثة.
أفاد البحث الذي أجرته شركة Koi Security بأن ما مجموعه 17 إضافة لمتصفح فايرفوكس كانت جزءًا من حملة "GhostPoster". تم اختراق هذه الإضافات جميعها بطريقة متطابقة تقريبًا؛ حيث تقوم بقراءة ملف أيقونة PNG الخاص بها، ومن خلال تحليل هذا الملف، يتم استخراج وتشغيل برنامج تحميل (Downloader) يقوم بتنزيل وتنفيذ الحمولة الخبيثة من خادم يتحكم فيه المهاجم. هذا الأسلوب يتجاوز آليات الفحص التقليدية التي قد لا تتعمق في محتوى ملفات الموارد الثابتة.
قائمة الإضافات المتأثرة وطرق الوقاية الفورية
القائمة التالية هي للإضافات الضارة التي تم تحديدها من قبل فريق Koi Security. يجب على المستخدمين مراجعة قائمة إضافاتهم فوراً واتخاذ الإجراء اللازم **لحذف** أي منها بشكل عاجل لتجنب التعرض لسرقة البيانات أو التحكم عن بعد. هذه الإضافات تغطي فئات شائعة جداً، مما يزيد من عدد الضحايا المحتملين. تجدون أدناه أبرز الفئات المتأثرة مثل إضافات الترجمة، أدوات تنزيل الفيديو والموسيقى، وشبكات الـVPN، وتطبيقات الطقس.
| الاسم بالإنجليزية | الفئة الشائعة |
|---|---|
| free-vpn-forever | شبكات افتراضية خاصة (VPN) |
| screenshot-saved-easy | أدوات التقاط الشاشة |
| weather-best-forecast | الطقس والمعلومات |
| crxmouse-gesture | إيماءات الفأرة |
| cache-fast-site-loader | تسريع التصفح |
| freemp3downloader | تنزيل الموسيقى |
| google-translate-right-clicks | الترجمة |
| google-traductor-esp | الترجمة |
| world-wide-vpn | شبكات افتراضية خاصة (VPN) |
| dark-reader-for-ff | تعديل واجهة المستخدم |
| translator-gbbd | الترجمة |
| i-like-weather | الطقس |
| google-translate-pro-extension | الترجمة |
| 谷歌-翻译 (الترجمة الصينية) | الترجمة |
| libretv-watch-free-videos | مشاهدة الفيديو |
| ad-stop | حظر الإعلانات |
| right-click-google-translate | الترجمة |
ماذا يجب أن أفعل إذا كنت أستخدم فايرفوكس حالياً؟
الإجراء الفوري هو التوجه إلى صفحة "الإضافات" (Add-ons) في متصفح فايرفوكس الخاص بك، ومراجعة القائمة المذكورة أعلاه. إذا وجدت أي إضافة تحمل اسماً مطابقاً، قم بتعطيلها فوراً ثم إزالتها بشكل دائم. بعد الإزالة، يُفضل مسح ذاكرة التخزين المؤقت للمتصفح وإعادة تشغيل فايرفوكس. للحصول على إضافات موثوقة للترجمة أو أدوات أخرى، اعتمد فقط على الإضافات الرسمية ذات التقييمات العالية والمطورين المعروفين.
هل تتأثر إضافات كروم بنفس الطريقة؟
بينما ركز تقرير Koi Security على إضافات فايرفوكس تحديداً، فإن استغلال أيقونات PNG ليس تقنية حصرية لنظام محدد. ومع ذلك، فإن الآلية المكتشفة هنا كانت مرتبطة بإصدارات محددة من الإضافات على متجر فايرفوكس. يظل من الحكمة دائماً توخي الحذر تجاه الإضافات غير المعروفة أو القديمة على جميع المنصات.
كيف يمكنني التحقق من أن أيقونة الإضافة آمنة؟
في ظل هذا التهديد، أصبح التحقق من سلامة ملفات الموارد صعباً على المستخدم العادي. الحل الأمثل هو تجنب الإضافات التي تحمل عدد تنزيلات متوسطاً (بين 10 آلاف و 100 ألف) ما لم يكن المطور موثوقاً جداً. ركز على الإضافات التي لديها ملايين المستخدمين والتي خضعت لتدقيق أمني مكثف، أو ابحث عن بدائل مفتوحة المصدر ومستقلة يتم فحص شفرتها بشكل دوري من قبل المجتمع الأمني.
هل يمكن أن تكون البيانات المسروقة معلومات حساسة؟
نعم، يمكن أن تشمل البيانات المسروقة أي شيء يمر عبر المتصفح أثناء جلسة التصفح النشطة، بما في ذلك بيانات الاعتماد، سجل التصفح، وأي معلومات يتم إدخالها في النماذج. الهدف الأساسي للمهاجمين هو الاستغلال التجاري (العمولات والنقرات الاحتيالية)، لكن الباب الخلفي الذي يتم زرعه يفتح المجال لسرقة أي بيانات حساسة أخرى متاحة للمتصفح.
🔎 في الختام، يشكل اكتشاف تهديد "GhostPoster" جرس إنذار هاماً في عالم أمن المتصفحات، حيث يوضح كيف يمكن لأبسط العناصر المرئية، مثل شعار الإضافة، أن تتحول إلى ناقل للبرمجيات الخبيثة المعقدة. يجب على جميع مستخدمي فايرفوكس الذين يعتمدون على الإضافات المشهورة والمستخدمة بكثرة أن يراجعوا قائمة إضافاتهم فوراً ويزيلوا أي مشتبه به دون تردد. البقاء على اطلاع دائم بالتحديثات الأمنية واتباع مبدأ "الأقل هو الأكثر أماناً" عند إضافة أدوات جديدة للمتصفح، هما خطوتان أساسيتان لضمان عدم تسلل المتسللين إلى بياناتك الخاصة عبر هذه الثغرات الغامضة.
قم بالتعليق على الموضوع