108 امتداد خبيث في Chrome يسرقون بيانات Google وTelegram — خطر مباشر على موظفي المؤسسات المالية السعودية

في 14 أبريل 2026، كشف باحثو شركة Socket عن 108 امتداداً خبيثاً في متجر Chrome Web Store تشترك في بنية تحتية واحدة للسيطرة والتحكم (C2)، وتستهدف سرقة رموز OAuth2 ومعرفات جلسات Google وTelegram من مئات الآلاف من المستخدمين. الخطير في هذه الحملة أن 45 امتداداً منها مزوّد بباب خلفي دائم يُنشَّط عند كل تشغيل للمتصفح — بغض النظر عن النقر على الامتداد من عدمه. بالنسبة للمؤسسات المالية السعودية التي تعتمد موظفوها على متصفح Chrome في عمليات eBanking والوصول إلى الأنظمة الداخلية، هذا ليس خبراً تقنياً مجرداً — إنه تهديد تشغيلي حقيقي يطرق الباب الآن.

كيف تعمل هذه الامتدادات الخبيثة؟

وزّع المهاجمون الامتدادات الـ 108 تحت خمس هويات ناشر مزيفة: Yana Project وGameGen وSideGames وRodeo Games وInterAlt. اتسمت الامتدادات بتنوع مقصود: أدوات جانبية لـ Telegram، وألعاب Keno وSlot، ومحسّنات YouTube وTikTok، وأدوات ترجمة — أي فئات يبحث عنها الموظفون في بيئات العمل. الخطر يكمن في البنية المزدوجة: الامتداد يؤدي وظيفته المُعلنة فعلاً، لكنه يُشغّل في الخلفية كود خبيثاً يتصل بخادم C2 مشترك لاستخراج بيانات الهوية وفتح عناوين URL تعسفية.

ميّز الباحثون نوعين من الخبث: النوع الأول (54 امتداداً) يستهدف حسابات Google مباشرةً — فور تسجيل الدخول، يسرق الامتداد رمز OAuth2 الخاص بالمستخدم ويرسل إلى خادم المهاجم: الإيميل والاسم والصورة الشخصية. النوع الثاني (45 امتداداً) أشد خطورة: يحتوي على دالة loadInfo() تجعل المتصفح يستجيب لأوامر الخادم عند كل تشغيل، مما يتيح للمهاجم تحميل صفحات تصيّد، وحقن جلسات، أو تنفيذ هجمات AiTM (Adversary-in-the-Middle) دون أي تفاعل من الضحية. ووفق التحليل الجنائي للكود، تحتوي الامتدادات على تعليقات باللغة الروسية، مما يُشير إلى جهات تهديد ناطقة بالروسية، وتتبع نموذج MaaS (Malware-as-a-Service).

لماذا يُشكّل هذا تهديداً حاداً للقطاع المالي السعودي؟

تعتمد الغالبية العظمى من موظفي البنوك وشركات التأمين وشركات التقنية المالية السعودية على متصفح Chrome للوصول إلى بوابات الإدارة الداخلية ومنصات الدفع وأنظمة CRM وخدمات Microsoft 365. سرقة رمز OAuth2 لحساب Google للموظف لا تعني فقط كشف بريده الشخصي — بل تعني احتمالية الوصول إلى Google Workspace المؤسسي بما فيه مستندات Drive ومحادثات Meet واجتماعات Calendar التي تحتوي على بيانات عملاء خاضعة لـ PDPL. علاوة على ذلك، الباب الخلفي الدائم يجعل أجهزة الموظفين المُصابة عُرضة لهجمات جانبية (lateral movement) داخل الشبكة المصرفية.

الأخطر من الناحية التنظيمية: حتى 14 أبريل 2026، ورغم إبلاغ Google، كانت هذه الامتدادات لا تزال متاحة للتنزيل في متجر Chrome Web Store. هذا يعني أن الفجوة الزمنية بين الاكتشاف والإزالة — وهي النافذة التي يستهدفها المهاجمون — كانت مفتوحة لأيام. من منظور SAMA CSCC، الدومين 4 (Cybersecurity Operations) يُلزم المؤسسات بمراقبة نقاط النهاية واكتشاف التهديدات بصورة مستمرة — وهذا النوع من الهجمات يختبر مدى فاعلية تطبيق هذا المتطلب عملياً.

الربط بإطار SAMA CSCC ومتطلبات NCA ECC

يُعالج إطار SAMA للأمن السيبراني (CSCC) هذا النوع من التهديدات ضمن محور Protect، تحديداً في ضوابط Endpoint Protection (EP) التي تشترط السيطرة على تثبيت التطبيقات والامتدادات على أجهزة العمل. كذلك، يُعدّ تقييد امتدادات المتصفح من متطلبات الحد الأدنى لأمن نقاط النهاية وفق النظام الأساسي لـ NCA ECC-1-3-1 (Endpoint Device Configuration). من جهة PDPL، سرقة بيانات الهوية (الاسم والإيميل والصورة) لموظفين أو عملاء عبر أجهزة مؤسسية يُرتّب التزامات إفصاح وإخطار وفق المادتين 29 و30 من نظام حماية البيانات الشخصية. وفي حال ثبوت إهمال تقني في تأمين نقاط النهاية، قد يُشكّل ذلك تقصيراً أمام الجهات الرقابية.

التوصيات والخطوات العملية

1. تدقيق فوري في الامتدادات المثبتة: استخدم أدوات MDM مثل Microsoft Intune أو Jamf لاستخراج قائمة بجميع امتدادات Chrome المثبتة على أجهزة الموظفين، وقارنها بقائمة الـ 108 امتداداً التي نشرتها Socket. أزل أي تطابق فوراً واعزل الجهاز للفحص الجنائي.
2. سياسة القائمة البيضاء للامتدادات: أكّد أو ابدأ تطبيق سياسة Chrome Enterprise Policy تقصر تثبيت الامتدادات على قائمة موافق عليها (whitelist) ومُقيَّمة أمنياً. حظر تثبيت الامتدادات من مصادر غير معتمدة هو الضابط الأمثل لمنع تكرار هذا السيناريو.
3. مراجعة رموز OAuth2 النشطة: عبر Google Workspace Admin Console، تحقق من التطبيقات والامتدادات التي تحظى بصلاحيات OAuth2 على حسابات الموظفين، وأبطل أي صلاحيات لامتدادات غير معروفة أو غير ضرورية.
4. تحديث سياسة الأمن عند نقاط النهاية: راجع ضوابط EP في SAMA CSCC وتأكد من تفعيل رصد سلوك المتصفح (Browser Behavior Monitoring) ضمن حل EDR المؤسسي، مع ضبط قواعد اكتشاف لحركة C2 غير المعتادة على منافذ HTTP/HTTPS.
5. توعية الموظفين بالتهديدات المتعلقة بالمتصفح: أدرج هذا الحادث في برنامج التوعية الأمنية الدوري (Security Awareness Training)، مع التركيز على مخاطر تثبيت الامتدادات من خارج القنوات الرسمية وأثرها على بيانات الحسابات المؤسسية.
6. تقييم خطورة تعرّض بيانات PDPL: حدد ما إذا كانت أجهزة مصابة قد وصلت إلى بيانات عملاء، وفعّل بروتوكول تقييم اختراق البيانات الشخصية وفق متطلبات PDPL المادة 29 قبل أن يتصاعد الأمر إلى إخطار رسمي.

الخلاصة

هذه الحملة تُعيد تسليط الضوء على ثغرة جوهرية في كثير من برامج الأمن المؤسسية: التركيز المفرط على حماية الشبكة والخادم مع إهمال نسبي لأمن المتصفح وامتداداته. في بيئة عمل هجينة حيث يُعدّ المتصفح بوابة العمل الأساسية، الامتداد الخبيث الواحد كافٍ لتحويل محطة عمل موظف إلى نقطة وصول خاملة تنتظر أمر التفعيل. المؤسسات المالية الخاضعة لرقابة SAMA والتي لم تُطبّق بعد سياسة قائمة بيضاء صارمة للامتدادات هي الأعلى خطورة من هذه الحملة بالذات.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة ضوابط أمن نقاط النهاية وامتدادات المتصفح.