أجرت شركة الأمن السيبراني LayerX تحقيقًا أطلقت عليه اسم AiFrame. ووفقًا للخبراء، فإن الإضافات الثلاثين التي تم تحليلها تُشكل جزءًا من بنية تحتية خبيثة واحدة، إذ تتصل جميعها بخوادم تابعة لنطاق واحد.
وقد حصدت بعض هذه الإضافات عشرات الآلاف من التنزيلات من المتجر الرسمي. وكانت الإضافة الأكثر شيوعًا هي Gemini AI Sidebar، التي وصل عدد مستخدميها إلى 80 ألف مستخدم قبل إزالتها.
ومن بين الاضافات الأخرى، إضافة AI Sidebar التي تضم 70 ألف مستخدم، وإضافة AI Assistant التي تضم 60 ألف مستخدم، وإضافة ChatGPT Translate التي تضم 30 ألف عملية تثبيت.
اكتشف فريق البحث أن جميع الإضافات تشترك في منطق جافا سكريبت متطابق تقريبًا، ونفس الصلاحيات، وبنية تحتية خلفية مشتركة.
بدلًا من تشغيل وظائف الذكاء الاصطناعي محليًا، كانت هذه الإضافات تُحمّل إطار iframe بملء الشاشة من نطاق بعيد لمحاكاة الوظائف الموعودة. وقد مكّن هذا المشغلين من تعديل السلوك دون نشر تحديثات، وبالتالي تجنب عمليات مراجعة إضافية.
في الخفاء، استخرجت الإضافات محتوى من الصفحات التي تمت زيارتها، بما في ذلك صفحات المصادقة الحساسة. استهدفت مجموعة فرعية من 15 إضافةً خدمة الجيميل تحديدًا، حيث شغّلت برامج نصية يتم تفعيلها عند تحميل خدمة البريد الإلكتروني. قرأت هذه البرامج النصية المحتوى المرئي للرسائل مباشرةً من نموذج كائن المستند (DOM)، بل وتمكنت من التقاط المسودات.
عندما فعّل المستخدم ميزات مثل الردود أو الملخصات المدعومة بالذكاء الاصطناعي، تم إرسال نص البريد الإلكتروني إلى خوادم يتحكم بها المهاجمون، خارج نطاق أمان الجيميل.
بالإضافة إلى ذلك، تضمنت بعض الإضافات خاصية التعرف على الصوت مع القدرة على نسخ الصوت وإرساله عن بعد.
يوصي الخبراء بمراجعة قائمة مؤشرات الاختراق التي نشرتها شركة LayerX، وإذا كان هناك اشتباه في ذلك، فيجب إزالة الإضافات المتأثرة وإعادة تعيين كلمات المرور لجميع الحسابات.
ليست هناك تعليقات:
إرسال تعليق