في عصر التكنولوجيا الحديثة، أصبحت ملحقات المتصفح أداة شائعة، لكن بعضها يمكن أن يكون خبيثًا. في هذا المقال، نستعرض كيف سرقت ملحقات جوجل كروم الخبيثة بيانات المستخدمين.
سرقت ملحقات جوجل كروم الخبيثة محادثات نماذج اللغة الكبيرة (LLM) وبيانات التصفح من مئات الآلاف من المستخدمين.
أفادت شركة أمان التطبيقات Ox Security عن حملة في مدونة بحثية حديثة تتعلق بملحقات جوجل كروم الخبيثة التي تتظاهر بأنها ملحقات شرعية من شركة تدعى AItopia، والتي تضيف شريط جانبي على المواقع يمكّن من الدردشة مع نماذج LLM الشهيرة مثل ChatGPT وDeepSeek.
وجد الباحثون في Ox أن ملحقين كانا ينسخان وظيفة التطبيق الشرعي بينما يقومان أيضًا بنقل محادثات المستخدمين وبيانات التصفح إلى خادم القيادة والتحكم (C2). كان أحدهما بعنوان “ChatGPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI” ولديه أكثر من 600,000 مستخدم وشارة “مميز” على جوجل كروم، بينما الآخر “AI Sidebar with Deepseek, ChatGPT, Claude and more” كان لديه أكثر من 300,000 مستخدم.
على الرغم من أن الملحقات الخبيثة كانت متاحة على الإنترنت عندما نشرت Ox المدونة قبل بضعة أسابيع، إلا أنه تم إزالتها منذ ذلك الحين.
كيف سرقت ملحقات جوجل كروم بيانات المستخدمين
تطلب كلا الملحقين الخبيثين الموافقة على “بيانات تحليلات مجهولة وغير قابلة للتعريف”، بينما في الواقع، هذا هو بالضبط ما يستخدمونه لتمكين نقل “محتوى المحادثة الكامل من جلسات ChatGPT وDeepSeek”، كما كتب مؤلف المدونة والباحث موشيه سيمون توف بوستان.
أطلقت Secure Annex سابقًا على ممارسة سرقة المحادثات الذكية اسم “سرقة المحادثات”.
تظل خصوصية نماذج LLM والتطبيقات المعتمدة عليها مصدر قلق متزايد للمنظمات حيث يستمر المهاجمون في إيجاد طرق لاستغلال هذه السطوح الهجومية. وهذا يمثل قلقًا مضاعفًا حيث تعتمد المنظمات على نماذج LLM في مهام مثل تطوير الشفرات الخاصة وصياغة الوثائق الحساسة. هذه مجرد واحدة من الأمثلة على استغلال المهاجمين للذكاء الاصطناعي في أنشطتهم.
يتم نقل كمية هائلة من البيانات إلى خادم C2 الخاص بالمهاجم، بما في ذلك بيانات المحادثات الذكية ونشاط المتصفح للمستخدم. وهذا يمكّن المهاجمين من سحب الشفرات المصدرية الخاصة المستخدمة في استفسارات التطوير، واستراتيجيات الأعمال المذكورة في المطالبات، وأبحاث سرية، ومسائل قانونية، وعناوين URL كاملة من جميع علامات تبويب كروم، واستفسارات البحث، وعناوين URL الداخلية للشركات، والمزيد.
“يمكن استخدام هذه البيانات في التجسس الصناعي، وسرقة الهوية، وحملات التصيد المستهدفة، أو بيعها في المنتديات السرية”، كما قرأت المدونة. “قد تكون المنظمات التي قام موظفوها بتثبيت هذه الملحقات قد عرضت بشكل غير مقصود الملكية الفكرية وبيانات العملاء ومعلومات الأعمال السرية للخطر.”
بالمقارنة، فإن ملحق AITopia لا يتضمن أي من وظائف C2 المذكورة، كما قالت Ox، ويكشف بشكل صحيح عن سياساته المتعلقة بالبيانات.
تحتوي المدونة على مؤشرات على وجود تسويات للملحقات الضارة. توصي Ox Security أي شخص قام بتثبيت أي من التطبيقات بإزالتها على الفور. علاوة على ذلك، يجب على المستخدمين تجنب تثبيت الملحقات من مصادر غير معروفة، حتى لو تم وسمها بأنها “مميزة” على متجر ملحقات كروم.
كيف يستخدم المهاجمون بيانات الذكاء الاصطناعي وبيانات متصفح كروم المسروقة
سألت Dark Reading سيمون توف بوستان كيف يمكن للمهاجمين تحقيق الربح من بيانات الذكاء الاصطناعي وبيانات المتصفح المسروقة، نظرًا لتحدي فرز جميع المحادثات من حوالي مليون مستخدم للملحقات، خاصة مقارنة بشيء أكثر وضوحًا مثل بيانات الاعتماد المالية والشركات.
قال الباحث إن العثور على معلومات قيمة أصبح أسهل من أي وقت مضى، بفضل الأكواد الآلية ونماذج LLM، وإمكانية تحقيق الربح “أوسع مما قد يبدو في البداية”.
“يمكن العثور على معلومات مالية مثل صور بطاقات الائتمان في محادثات الدردشة، بالإضافة إلى بيانات اعتماد الأعمال مثل كلمات مرور حسابات السحابة ومفاتيح API. قد تكون هذه البيانات الحساسة موجودة هناك عن غير قصد من خلال نسخ ولصق كميات كبيرة من البيانات في محادثاتهم الذكية دون إدراك تداعيات الأمان”، كما يقول سيمون توف بوستان.
لم تتمكن Ox من تحديد أهداف الحملة بشكل قاطع. “بخلاف البيانات المالية المباشرة”، يضيف الباحث، “هناك سوق نشط لتاريخ التصفح – سواء لأغراض التسويق المستهدف أو التجسس – ويمكن تحقيق الربح منه في هذا النظام البيئي أيضًا.”
تظل أمان البيانات وخصوصيتها من القضايا الحيوية في عالمنا الرقمي. يجب على المستخدمين أن يكونوا حذرين عند تثبيت الملحقات والتأكد من مصادرها لضمان حماية معلوماتهم.
