قام عشرات الآلاف من الأشخاص بتنزيل ما اعتقدوا أنها أدوات ذكاء اصطناعي مفيدة لمتصفحاتهم، ليمنحوا المتسللين مسارًا مباشرًا إلى أكثر أنشطتهم خصوصية على الإنترنت، بما في ذلك رسائل البريد الإلكتروني.
بحسب شركة LayerX، قام أكثر من 260 ألف مستخدم لمتصفح Chrome بتثبيت ما لا يقل عن 30 إضافة متصفح خبيثة تتظاهر بأنها مساعدات ذكاء اصطناعي. زعمت هذه الإضافات توفير ميزات مثل دعم الدردشة، وكتابة رسائل البريد الإلكتروني، وملخصات المحتوى، لكنها في الواقع كانت تقوم بسحب البيانات خلسةً في الخلفية.
أسماء الذكاء الاصطناعيالمستخدمةكغطاء الموثوقة
لم يكن التوقيت عشوائيًا. فمع إقبال الناس بحماس على استخدام أدوات الذكاء الاصطناعي في العمل والاستخدام الشخصي، استغل المهاجمون هذا الحماس للتسلل خلسةً. وادّعت الإضافات المزيفة ارتباطها بخدمات ذكاء اصطناعي معروفة مثل ChatGPT وClaude وGemini وGrok، وهي علامات تجارية تُوحي بالثقة والاعتراف الفوري.
على الرغم من اختلاف أسمائها وشعاراتها ووصفها، إلا أن جميع الامتدادات الثلاثين كانتdentجوهريًا. فقد كانت تستخدم نفس الشيفرة البرمجية الأساسية، وتطلب نفس الصلاحيات الواسعة، وتوجه البيانات إلى نفس الخوادم المخفية.
وصف باحثو LayerX هذا النهج بأنه "رشّ الإضافات"، حيث يتم إغراق المتجر بنسخ متطابقة تقريبًاdentاكتشافها وإزالتها من قِبل مشرفي متجر Chrome الإلكتروني. وقد أثمرت هذه الاستراتيجية، إذ حصلت بعض الإضافات على تصنيف "مميز"، مما عزز مصداقيتها الظاهرية وساهم في زيادة عدد عمليات التثبيت.
ما جعل هذه الإضافات خبيثة بشكل خاص هو طريقة عملها. فبدلاً من إجراء أي معالجة حقيقية للذكاء الاصطناعي محليًا على جهاز المستخدم، كانت تستدعي طبقات تراكب مخفية بملء الشاشة مستضافة على خوادم يتحكم بها المهاجمون، ومن بين النطاقات المؤكدة tapnetic.pro.
سمح هذا الإعداد للمشغلين بتغيير سلوك الإضافة فورًا، دون الحاجة إلى إرسال أي تحديثات عبر عملية مراجعة جوجل. ولم يكن لدى المستخدمين أي وسيلة لرصد هذه التغييرات.
بمجرد تفعيلها، يمكن للإضافاتtracالنصوص وعناوين الصفحات والعناصر الأخرى من أي موقع يزوره الشخص، بما في ذلك الصفحات المحمية التي تتطلب تسجيل الدخول، مثل بوابات مكان العمل أو الحسابات الشخصية، وإعادة توجيه كل شيء إلى خوادم بعيدة.
مستخدمو Gmail في مرمى النيران
خمسة عشر إضافة من أصل ثلاثين ركزت Gmail مستخدمي شركة LayerX أطلقت هذه المجموعةاسم"مجموعة تكامل Gmail". ورغم تسويقها تحت أسماء مختلفة واستخدامها لأغراض متنوعة، إلا أن جميعالإضافاتتشترك في نفس الشيفرة البرمجية التي تستهدف Gmail. هذه الشيفرة بحقن البرامج النصية مباشرةً في واجهة Gmail، وتلتقط بشكل متكرر نص أي محادثات مفتوحة ظاهرة على الشاشة.
بعبارة أبسط، يمكن استخراج محتوى البريد الإلكتروني بالكامل، بما في ذلك المسودات وسلاسل الرسائل، من جيميل وإرساله إلى خوادم المهاجمين. وأضاف أن استخدام أدوات الذكاء الاصطناعي المدمجة في جيميل، مثل الردود الذكية أو ملخصات الرسائل، قد يؤدي أحيانًا إلى جمع كميات أكبر من المحتوى، وإرساله خارج نطاق نظام جوجل.
هذايندرجضمن نمط أوسع وأكثر تفاقمًا. أشارت شركة LayerX إلى أنها كشفت، قبل شهر واحد فقط، عن 16 إضافة أخرى مصممة لسرقة رموز الجلسات من ChatGPT ، مما أثر على أكثر من 900 ألف مستخدم. وفي حالة أخرى، سربت إضافتان جانبيتان تعملان بالذكاء الاصطناعي سجلات المحادثات من DeepSeek وChatGPT، مما أثر على 900 ألف عملية تثبيت إضافية.
مع وجود ما يقرب من 3 مليارات مستخدم لمتصفح كروم على مستوى العالم، وخدمة جيميل لملياري مستخدم، فإن نظام إضافات المتصفح يمثل هدفًا مغريًا بشكل خاص لهذا النوع من العمليات.
لأي شخص يشعر بالقلق للهجوم من تعرضه مراجعة قائمة LayerX المنشورة للإضافات الضارة. ما عليك سوى التوجه إلى "chrome://extensions" في متصفحك لفحص العناصر المثبتة وإزالة أي شيء مشكوك فيه. يُعد تفعيل التحقق بخطوتين على الحسابات خطوة ذكية أخرىالوقتالحالي.
وجّه زارغاروف تحذيراً صريحاً : "مع استمرار ازدياد شعبية الذكاء الاصطناعي التوليدي، ينبغي على المدافعين توقع انتشار حملات مماثلة". ويؤكد خبراء الأمن أن المسار الأكثر أماناً هو الاعتماد على ميزات الذكاء الاصطناعي المدمجة بالفعل في التطبيقات والمنصات الموثوقة، بدلاً من المخاطرة باستخدام إضافات خارجية غير مألوفة.
