المستعرضات

ملحقات المستعرض: لا تثق بها أبدًا، وتحقق منها دائمًا

الإجراءات والأدوات المنهجية التي يمكن للمؤسسات استخدامها للدفاع ضد إضافات المستعرضات الضارة

Stan Kaminsky
ديسمبر 16, 2025

تظل ملحقات المستعرضات الضارة نقطة عمياء مهمة للعديد من فرق الأمن الإلكتروني في المؤسسات. وقد أصبحت جزءًا ثابتًا ودائمًا في ترسانة مجرمي الإنترنت، حيث تُستخدم لسرقة الجلسات والحسابات والتجسس والتغطية على الأنشطة الإجرامية الأخرى والاحتيال الإعلاني وسرقة العملات المشفرة. وكثيراً ما تتكرر الحوادث البارزة التي تتضمن ملحقات ضارة – بدءًا من اختراق ملحق أمان Cyberhaven إلى النشر واسع النطاق لملحقات برامج سرقة المعلومات.

تُعد الملحقات جذابة للمهاجمين لأنها تُمنح صلاحيات ووصولاً واسع النطاق إلى المعلومات داخل تطبيقات البرمجيات كخدمة (SaaS) ومواقع الويب. ونظرًا لكونها ليست تطبيقات قائمة بذاتها، فإنها غالبًا ما تتجاوز سياسات الأمان وأدوات التحكم القياسية.

يجب على فريق الأمان في أي شركة معالجة هذه المشكلة بشكل منهجي. وتتطلب إدارة ملحقات المستعرضات مزيجًا من أدوات إدارة السياسات وخدمات أو أدوات المساعدة المتخصصة في تحليل الملحقات. وكان هذا الموضوع محور حديث أثناسيوس غياتسوس في قمة محللي الأمان 2025.

قدرات التهديد التي تشكلها ملحقات الويب والابتكارات في الإصدار الثالث من Manifest

تتمتع ملحقات المستعرضات بوصول واسع النطاق إلى معلومات صفحة الويب: يمكنها قراءة وتعديل أي بيانات متاحة للمستخدم من خلال تطبيق الويب، بما في ذلك السجلات المالية أو الطبية. وغالبًا ما تحصل الملحقات أبضًا على إمكانية الوصول إلى بيانات مهمة لا يراها المستخدمون عادةً: ملفات تعريف الارتباط ومساحة التخزين المحلية وإعدادات الخادم الوكيل. وهذا يُسهل إلى حد كبير عمليات قرصنة الجلسات. وفي بعض الأحيان، تتجاوز إمكانات الملحقات صفحات الويب بكثير: يمكنها الوصول إلى موقع المستخدم وتنزيلات المستعرض والتقاط شاشة سطح المكتب ومحتوى الحافظة وإخطارات المستعرض.

في بنية الملحقات السائدة سابقًا، كانت ملحقات الإصدار الثاني من Manifest – التي عملت عبر Chrome وEdge وOpera وVivaldi وFirefox وSafari – لا تختلف عمليًا عن التطبيقات كاملة المزايا من حيث القدرات. ويمكنها تشغيل البرامج النصية في الخلفية باستمرار، وإبقاء صفحات ويب غير مرئية مفتوحة، وتحميل البرامج النصية وتنفيذها من مواقع ويب خارجية، والتواصل مع مواقع عشوائية لاسترداد البيانات أو إرسالها. وللحد من إساءة الاستخدام المحتملة – بالإضافة إلى الحد من أدوات حجب الإعلانات – نقلت Google مستعرضي Chromium وChrome إلى الإصدار الثالث من Manifest. وأدى هذا التحديث إلى تقييد أو حظر العديد من ميزات الملحق. ويجب أن تعلن الملحقات الآن عن جميع المواقع التي تتواصل معها، ويُحظر عليها تنفيذ التعليمات البرمجية للجهات الخارجية المحمّلة ديناميكيًا، ويجب أن تستخدم الخدمات المصغرة قصيرة الأجل بدلاً من البرامج النصية الثابتة في الخلفية. وعلى الرغم من أن بعض أنواع الهجمات أصبح تنفيذها أصعب الآن بسبب البنية الجديدة، إلا أنه يمكن للمهاجمين بسهولة إعادة كتابة تعليماتهم البرمجية الضارة للاحتفاظ بمعظم الوظائف الضرورية مع التضحية بالتخفي. ولذلك، فإن الاعتماد فقط على المستعرضات والملحقات التي تعمل ضمن الإصدار الثالث من Manifest داخل المؤسسة يسهّل المراقبة، لكنه ليس حلاً سحريًا.

علاوة على ذلك، لا يعالج الإصدار الثالث المشكلة الأساسية المتعلقة بالملحقات: يتم تنزيلها عمومًا من متاجر التطبيقات الرسمية باستخدام نطاقات شرعية تتتبع Google أو Microsoft أو Mozilla. ويبدو أن نشاطها نابع من المستعرض نفسه، مما يجعل التمييز بين الإجراءات التي ينفذها الملحق والإجراءات التي ينفذها المستخدم يدويًا أمراً بالغ الصعوبة.

كيف تظهر الملحقات الضارة

بالاعتماد على حوادث عامة مختلفة، يسلط أثناسيوس غياتسوس الضوء على عدة سيناريوهات يمكن أن تظهر فيها الملحقات الضارة بوجهها القبيح:

يبيع المطور الأصلي ملحقًا شرعيًا وشائعًا. وبعد ذلك “يُحسنه” المشتري عن طريق تعليمات برمجية ضارة لعرض الإعلانات أو التجسس أو أي أغراض شائنة أخرى. وتتضمن الأمثلة The Great Suspender وPage Ruler.
يخترق المهاجمون حساب المطور وينشرون تحديثًا مصابًا بفيروس حصان طروادة لملحق حالي، كما حدث في حالة Cyberhaven.
يتم تصميم الملحق ليكون ضارًا من البداية. ويتنكر إما في صورة أداة مساعدة مفيدة، مثل أداة الحفظ على Google Drive المزيفة، أو تُقلد أسماء وتصميمات الملحقات الشائعة، مثل العشرات من النسخ المقلدة من ملحق AdBlock المتوفرة.
تتضمن نسخة أكثر تطورًا من هذا المخطط نشر الملحق في البداية وهو في حالة سليمة، حيث يؤدي وظيفة مفيدة وحقيقية. ثم يتم إدخال الملحقات الضارة لاحقًا، بعد أسابيع أو حتى أشهر، بمجرد أن يكون الملحق قد اكتسبت شعبية كافية. ويعد ملحق ChatGPT for Google أحد الأمثلة على ذلك.

في كل هذه السيناريوهات، يكون الملحق متاحًا على نطاق واسع في سوق Chrome الإلكتروني ويتم الإعلان عنه في بعض الأحيان. ومع ذلك، هناك أيضًا سيناريو هجوم مستهدف حيث تطالب صفحات التصيد الاحتيالي أو الرسائل الضحايا بتثبيت ملحق ضار غير متاح لعامة الجمهور.

غالباً ما يؤدي التوزيع المركزي من خلال سوق Chrome الإلكتروني المقترن بالتحديثات التلقائية لكل من المستعرض والملحقات، إلى تثبيت المستخدمين لملحق ضار دون علمهم ودون بذل أي جهد من جانبهم. وإذا تلقى ملحق تم تثبيته بالفعل على جهاز كمبيوتر تحديثًا ضارًا، فسيتم تثبيته تلقائيًا.

الدفاعات المؤسسية ضد الملحقات الضارة

قدم أثناسيوس في حديثه عددًا من التوصيات العامة:

اعتماد سياسة داخل الشركة خاصة باستخدام ملحقات المستعرض.
حظر أي ملحقات غير مدرجة بشكل صريح في القائمة المعتمدة من قبل أقسام الأمن الإلكتروني وتكنولوجيا المعلومات.
إجراء تدقيق مستمر لكل الملحقات المُثبَّتة وإصداراتها.
عند تحديث الملحقات، يجب تتبع التغييرات في الأذونات الممنوحة لها، ومراقبة أي تغييرات في ملكية الملحقات أو فريق المطورين الخاص بها.
تضمين معلومات عن مخاطر وقواعد استخدام ملحقات المستعرض في برامج التدريب على التوعية الأمنية لجميع الموظفين.

نضيف بعض الأفكار العملية والاعتبارات المحددة إلى هذه التوصيات.

قائمة بالملحقات والمستعرضات المقيدة. بالإضافة إلى تطبيق سياسات الأمان على المستعرض المعتمد رسميًا في الشركة، من الضروري حظر تثبيت الإصدارات المحمولة ومستعرضات الذكاء الاصطناعي الرائجة مثل Comet أو غيرها من الحلول غير المصرح بها التي تسمح بتثبيت الملحقات الخطرة ذاتها. عند تطبيق هذه الخطوة، تأكد أن صلاحيات المسؤول المحلي مقصورة على موظفي تكنولوجيا المعلومات والموظفين الآخرين الذين تتطلب واجباتهم الوظيفية ذلك بشكل صارم.

كجزء من السياسة الخاصة بالمستعرض الرئيسي للشركة، يجب تعطيل وضع المطور ومنع تثبيت الملحقات من الملفات المحلية. وبالنسبة إلى مستعرض Chrome، يمكنك إدارة ذلك عبر وحدة تحكم المسؤول. وتتوفر هذه الإعدادات أيضًا من خلال سياسات مجموعة Windows أو ملفات تعريف تكوين macOS أو عبر ملف سياسة JSON على نظام Linux.

التحديثات المدارة. قم بتطبيق تثبيت الإصدارات لمنع تثبيت التحديثات للملحقات المسموح بها على مستوى الشركة فورًا. وتحتاج فرق تكنولوجيا المعلومات والأمن الإلكتروني إلى اختبار الإصدارات الجديدة من الإضافات المعتمدة بانتظام وتثبيت الإصدارات المُحدَّثة فقط بعد فحصها واعتمادها.

الدفاع متعدد الطبقات. من الضروري تثبيت عميل EDR على جميع أجهزة الشركة لمنع المستخدمين من تشغيل مستعرضات غير مصرح بها، وتخفيف مخاطر زيارة مواقع التصيد الاحتيالي الضارة، ومنع تنزيلات البرامج الضارة. ومن الضروري أيضًا تتبع طلبات نظام أسماء النطاقات وحركة مرور شبكة المستعرض على مستوى جدار الحماية للكشف في الوقت الحقيقي عن الاتصالات مع المضيفين المشبوهين والاشتباهات الأخرى.

المراقبة المستمرة. استخدم حلول EDR وإدارة معلومات الأمان والأحداث (SIEM) لجمع تفاصيل حالة المستعرض من محطات عمل الموظفين. ويشمل ذلك قائمة الملحقات في كل مستعرض مُثبّت، بالإضافة إلى ملفات Manifest لتحليل الإصدار والأذونات. ويسمح هذا بالكشف السريع عن الملحقات الجديدة التي يتم تثبيتها أو عن تحديث الإصدارات وتغيير الأذونات الممنوحة لها.

كيفية فحص ملحقات المستعرض

لتطبيق الضوابط التي نوقشت أعلاه، تحتاج الشركة إلى قاعدة بيانات داخلية بالملحقات المعتمدة والمحظورة. وللأسف، لا تقدم متاجر التطبيقات والمستعرضات نفسها أي آليات لتقييم المخاطر على نطاق مؤسسي، أو لتعبئة مثل هذه القائمة تلقائيًا. لذلك، يجب على فريق الأمن الإلكتروني إنشاء هذه العملية وهذه القائمة على حد سواء. وسيحتاج الموظفون أيضًا إلى إجراء رسمي لتقديم طلبات لإضافة ملحقات إلى قائمة الملحقات المعتمدة.

من الأفضل إجراء تقييم للاحتياجات التجارية والبدائل المتاحة بمشاركة ممثل من وحدة الأعمال المعنية. ومع ذلك، يظل تقييم المخاطر مسؤولية فريق الأمان بالكامل. وليس من الضروري تنزيل الملحقات يدويًا ومقارنتها عبر متاجر الملحقات المختلفة. ويمكن التعامل مع هذه المهمة بواسطة مجموعة من الأدوات، مثل الأدوات المساعدة مفتوحة المصدر، والخدمات المجانية عبر الإنترنت، والمنصات التجارية.

يمكن استخدام خدمات مثل Spin.AI وKoidex (المعروفة سابقًا باسم ExtensionTotal) لقياس ملف تعريف المخاطر العام. وتحتفظ كلتاهما بقاعدة بيانات للملحقات الشائعة، لذا يكون التقييم فوريًا في العادة. وتستخدم نماذج اللغة الكبيرة (LLMs) لإنشاء ملخص موجز لخصائص الإضافة، لكنها توفر أيضًا تحليلاً مفصلاً، يشمل الأذونات المطلوبة، وملف تعريف المطور، وسجل الإصدارات والتقييمات والتنزيلات.

لفحص البيانات الأساسية حول الإضافات، يمكنك أيضًا استخدام Chrome-Stats. وعلى الرغم من أن هذه الخدمة مصممة في المقام الأول لمطوري الملحقات، إلا أنها تعرض التقييمات والمراجعات وبيانات المتجر الأخرى. والأهم من ذلك، تسمح للمستخدمين بالتنزيل المباشر للإصدار الحالي وعدة إصدارات سابقة من الإضافة، مما يسهل التحقيق في الحوادث.

يمكنك استخدام أدوات مثل CRX Viewer لإجراء تحليل أعمق للملحقات المشبوهة أو الحرجة للمهمة. وتتيح هذه الأداة للمحللين فحص المكونات الداخلية للملحق، مع تصفية محتوياتها وعرضها بشكل ملائم، بالتركيز على التعليمات البرمجية بلغة HTML وJavaScript.

FileFix: نسخة جديدة من ClickFix

بدأت الجهات ذات النوايا الخبيثة في استخدام شكل جديد من تقنية ClickFix – يسمى “FileFix”. ونشرح كيفية عمله، وكيفية حماية شركتك منه.

النصائح

نصائح الأمان في كأس العالم ٢٠١٨

كيف يمكنك حماية نفسك اذا كنت تخطط لحضور كأس العالم بروسيا او حتى مشاهدته عبر الانترنت!

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً! برمجيات التنقيب المخفية!

أدوات مجانية

ملحقات المستعرض: لا تثق بها أبدًا، وتحقق منها دائمًا

قدرات التهديد التي تشكلها ملحقات الويب والابتكارات في الإصدار الثالث من Manifest

كيف تظهر الملحقات الضارة

الدفاعات المؤسسية ضد الملحقات الضارة

كيفية فحص ملحقات المستعرض

FileFix: نسخة جديدة من ClickFix

الهجوم على الطابعات من… الخطوط

FileFix: نسخة جديدة من ClickFix

النصائح

نصائح الأمان في كأس العالم ٢٠١٨

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

الحلول المنزلية

الشركات ما يصل إلى 50 موظفا

الشركات ما يصل إلى 999 موظفا

الشركات من 1000 موظف

Securelist

Nota Bene: Eugene Kaspersky’s Official Blog