108 إضافة خبيثة في Chrome Web Store تسرق رموز Google OAuth2 وجلسات Telegram — تحذير عاجل للمؤسسات المالية السعودية

في 15 أبريل 2026، كشف باحثو شركة Socket عن حملة تجسس منسّقة تضم 108 إضافات خبيثة داخل متجر Chrome Web Store الرسمي، تعمل على سرقة رموز Google OAuth2 Bearer وبيانات جلسات Telegram، وفتح أبواب خلفية في متصفحات الضحايا — وقد وصلت هذه الإضافات إلى أكثر من 20,000 جهاز حول العالم قبل رصدها. إذا كان موظفو مؤسستك المالية يستخدمون Chrome مع إضافات غير خاضعة للتدقيق، فأنت أمام تهديد حقيقي لحسابات Google Workspace وقنوات الاتصال الداخلية.

تفاصيل الحملة: شبكة متجرات وهمية وبنية تحكم مشتركة

نشر المهاجمون الإضافات الخبيثة تحت خمس هويات ناشر مختلفة على Chrome Web Store: Yana Project وGameGen وSideGames وRodeo Games وInterAlt. ظهرت الإضافات في فئات متعددة تشمل: عملاء Telegram الجانبية، ألعاب قمار وKeno، أدوات تحسين YouTube وTikTok، أدوات ترجمة نصوص، وإضافات إنتاجية عامة — وهي فئات شائعة يثق بها المستخدمون عادةً ويتجاهلون مراجعة صلاحياتها.

ما يجعل هذه الحملة خطيرة بشكل استثنائي هو أن جميع الإضافات تشترك في بنية تحكم وسيطرة (C2) واحدة، مما يكشف عن عملية مدارة مركزياً. كشف تحليل الكود عن تعليقات باللغة الروسية تشير إلى منظومة Malware-as-a-Service (MaaS) روسية تُؤجَّر لجهات متعددة.

آليات الاختراق: ثلاثة مسارات للهجوم في آنٍ واحد

رصد الباحثون ثلاث وظائف خبيثة متوازية تؤديها هذه الإضافات:

1. سرقة هوية Google عبر OAuth2 (54 إضافة): تعترض هذه الإضافات رموز Google OAuth2 Bearer Token الخاصة بالمستخدم، مما يمنح المهاجم وصولاً كاملاً إلى Gmail وGoogle Drive وGoogle Workspace دون الحاجة لكلمة المرور أو اجتياز MFA — لأن الرمز يحمل الجلسة المصادَق عليها مسبقاً.
2. فتح أبواب خلفية عالمية (45 إضافة): تفتح هذه الإضافات عناوين URL عشوائية فور تشغيل المتصفح، مما يُمكّن من نشر برامج خبيثة إضافية أو إعادة توجيه الضحايا لصفحات تصيد احترافية.
3. اختطاف جلسات Telegram بالكامل: الإضافة الأشد خطورة تسحب محتوى localStorage الخاص بـ Telegram Web كل 15 ثانية، وترسله لخوادم المهاجم. الأخطر أنها تقبل أوامر من الخارج تُمكّن المهاجم من استبدال جلسة المستخدم الحقيقية بجلسة خاضعة لسيطرته الكاملة — دون أن يلاحظ الضحية أي تغيير.

التأثير على المؤسسات المالية السعودية

يُعدّ هذا التهديد ذا خطورة مضاعفة للمؤسسات المالية الخاضعة لرقابة SAMA لأسباب عدة. أولاً، تعتمد كثير من المؤسسات المالية السعودية على Google Workspace للتواصل الداخلي، ومجرد سرقة OAuth2 Token يُعادل في أثره اختراقاً كاملاً للبريد والمستندات التشغيلية الحساسة. ثانياً، بات Telegram قناةً تواصل غير رسمية داخل فِرَق العمليات لدى كثير من البنوك والشركات المالية، وسرقة جلساته يعني تسرّب محادثات داخلية سرية. ثالثاً، يرتبط هذا التهديد مباشرةً بالمتطلب 2-3-3 من إطار SAMA CSCC الخاص بإدارة الهوية والوصول، والمتطلب 3-2-1 في NCA ECC المتعلق بأمن المتصفحات ومحطات العمل.

الجدير بالذكر أن PDPL السعودي يُلزم المؤسسات بالإفصاح عن اختراقات البيانات خلال 72 ساعة، وسرقة OAuth2 Token لموظف يملك وصولاً لبيانات العملاء تُعدّ اختراقاً يستوجب الإبلاغ الفوري لـ SDAIA.

التوصيات والخطوات العملية

1. مسح فوري لجميع إضافات Chrome في بيئة العمل: ابدأ اليوم بمراجعة الإضافات المثبتة على أجهزة الموظفين، وتدقيق قائمة الإضافات المسموح بها عبر سياسة Chrome Enterprise. احظر أي إضافة لا تنتمي لقائمة بيضاء معتمدة مسبقاً.
2. تعطيل الإضافات المشبوهة فوراً: ابحث عن الإضافات الصادرة من الناشرين: Yana Project، GameGen، SideGames، Rodeo Games، InterAlt، واحذفها على الفور من جميع الأجهزة.
3. إلغاء رموز OAuth2 وتجديد الجلسات: لأي جهاز يُشتبه في تثبيته إضافة خبيثة، يجب إلغاء جميع رموز OAuth2 الصادرة من حساب Google الخاص به عبر لوحة تحكم Google Admin، وإجبار تسجيل الدخول من جديد.
4. تطبيق سياسة Chrome Enterprise لتقييد الإضافات: اعتمد قائمة بيضاء صارمة للإضافات المسموح بها عبر Google Admin Console، وامنع تثبيت أي إضافة خارج هذه القائمة بالكامل.
5. رصد سلوك OAuth2 في SIEM: أضف قواعد كشف لرصد رموز OAuth2 المستخدمة من عناوين IP غير المعروفة أو خارج أوقات الدوام، وأنشئ تنبيهات فورية لأي طلب وصول من جلسة Chrome Extension غير مألوفة.
6. مراجعة سياسة استخدام Telegram في بيئة العمل: إذا كان Telegram يُستخدم لتداول معلومات داخلية حساسة، يجب تحويل هذه الاتصالات لمنصات مؤسسية خاضعة للتدقيق وتلبّي متطلبات SAMA CSCC.

الخلاصة

تؤكد هذه الحملة مجدداً أن متصفح Chrome ليس مجرد أداة تصفح — بل هو سطح هجوم حيوي داخل المؤسسة المالية. 108 إضافة خبيثة اجتازت قواعد متجر Chrome الرسمي وأصابت 20,000 جهاز، وهو رقم يكشف أن الثقة العمياء في المتاجر الرسمية لم تعد كافية. في مرحلة ما بعد الاختراق، تتحول رموز OAuth2 المسروقة إلى مفاتيح دائمة تتجاوز MFA وتفتح كل بريد وكل مستند — دون أن يُطلق أي إنذار. المؤسسة التي تملك برنامج أمن قائم على مبدأ الثقة الصفرية (Zero Trust) ستتعامل مع هذا التهديد من موقع قوة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وتدقيق فوري لسياسات إضافات المتصفح وإدارة هوية Google Workspace في بيئتك.