کمیته رکن چهارم – یک افزونه ظاهراً معتبر و دارای نشان رسمی گوگل پس از تغییر مالکیت، به ابزار توزیع بدافزار و سرقت اطلاعات کاربران تبدیل شد؛ رخدادی که بار دیگر ریسک «تصاحب افزونه» در زنجیره تأمین را برجسته میکند.
به گزارش کمیته رکن چهارم، افزونه QuickLens با حدود ۷ هزار کاربر، پس از تغییر مالکیت در اول فوریه ۲۰۲۶، نسخه ۵٫۸ را در ۱۷ فوریه منتشر کرد که حاوی کدهای مخرب بود. این نسخه مجوزهای حساسی مانند webRequest و declarativeNetRequestWithHostAccess را اضافه کرد؛ مجوزهایی که امکان دستکاری ترافیک وب و حذف هدرهای امنیتی مانند CSP را فراهم میکردند. در نتیجه، افزونه قادر بود روی همه وبسایتها اسکریپت تزریق کند.
کد مخرب با یک سرور فرماندهی در ارتباط بوده و از طریق polling دورهای، دستورهای جدید دریافت میکرد. در مرحله اول، کاربران با پیام جعلی «بهروزرسانی گوگل» مواجه میشدند و به اجرای فایل مخرب ترغیب میشدند. در ویندوز، این زنجیره به اجرای PowerShell مخفی و دانلود payloadهای بیشتر منجر میشد.
بررسیها نشان میدهد افزونه بهطور هدفمند کیفپولهای رمزارزی مانند MetaMask و Trust Wallet را شناسایی کرده و تلاش میکرد seed phrase و اطلاعات مالی را استخراج کند. همچنین سرقت دادههای فرمها، اطلاعات پرداخت، Gmail و حسابهای تجاری شبکههای اجتماعی نیز در رفتار آن مشاهده شده است.
کارشناسان هشدار میدهند «Featured» بودن یک افزونه به معنای امنیت دائمی نیست و تغییر مالکیت یا درخواست مجوزهای جدید باید بهعنوان پرچم قرمز تلقی شود. به کاربران توصیه شده در صورت نصب، افزونه را فوراً حذف کرده، سیستم را اسکن کامل کنند، رمزهای عبور را تغییر دهند و در صورت استفاده از کیفپول رمزارزی، داراییها را به کیفپول جدید منتقل کنند.
این حادثه نشان میدهد فروش و انتقال مالکیت افزونههای مرورگر به یکی از بردارهای اصلی حملات زنجیره تأمین تبدیل شده و auto-update میتواند به ابزاری برای انتشار سریع بدافزار بدل شود.
