کشف جاسوسافزار در افزونه ModHeader؛ گوگل و مایکروسافت آن را از فروشگاههای خود حذف کردند
افزونه ModHeader با بیش از ۱.۶ میلیون نصب در مرورگرهای کروم و اج، پس از آنکه پژوهشگران امنیتی وجود یک SDK جاسوسافزار و قابلیت ارسال اطلاعات کاربران به یک سرور خارجی را کشف کردند، از فروشگاههای رسمی گوگل و مایکروسافت حذف شد.
ModHeader چگونه اطلاعات کاربران را جمعآوری میکرد؟
پژوهشگران امنیتی Stripe OLT در گزارشی اعلام کردند نسخه ۷.۰.۱۸ این افزونه حاوی یک کیت توسعه نرمافزار (SDK) جاسوسافزار بوده است که بهصورت مخفی در آن قرار داده شده بود. بر اساس این گزارش، این جاسوسافزار فهرست دامنههای وبی را که کاربران از آنها بازدید میکردند، جمعآوری میکرد، سپس دادهها را با الگوریتم AES-GCM رمزگذاری کرده و روزی یکبار به یک سرور راه دور ارسال میکرد.
پژوهشگران تأکید کردند که این قابلیت بهطور پیشفرض غیرفعال بوده، اما تمام اجزای لازم برای فعالسازی آن، از جمله کد اجرایی، کلید رمزنگاری و زمانبندی ارسال اطلاعات، از قبل در افزونه تعبیه شده بود؛ موضوعی که نگرانیهای جدی درباره احتمال سوءاستفاده از این افزونه در آینده ایجاد کرده است.
آیا دادههای کاربران به سرورهای چینی ارسال میشد؟
پژوهشگران اعلام کردند هیچ قابلیت فرماندهی و کنترل (C2) در این افزونه مشاهده نشده است؛ به این معنا که سرور موردنظر تنها دادههای سرقتشده را دریافت میکرد و امکان ارسال فرمان یا برقراری ارتباط مجدد با افزونه را نداشت.
علاوه بر این، ModHeader مانند یک تبلیغافزار نیز عمل میکرد؛ بهگونهای که هنگام بهروزرسانی، تبلیغات نمایش میداد و تبهای تبلیغاتی جدیدی را در مرورگر باز میکرد. این رفتار حتی در دستگاههایی که توسط سازمانها مدیریت میشدند نیز مشاهده شده است.
پژوهشگران با اطمینان پایین این فعالیت را به یک عامل تهدید چینیزبان نسبت دادهاند. به گفته آنها، دامنهای که برای انتقال دادههای سرقتشده استفاده میشد، از سرویس Lark برای مسیریابی ایمیلها بهره میبرد؛ پلتفرمی که در میان تیمهای چینیزبان کاربرد گستردهای دارد.
همچنین، بررسی کد افزونه وجود رشتههای متنی به زبان چینی را نشان داده و مشخص شده است که این افزونه بهطور پیشفرض از زبان چینی سادهشده نیز پشتیبانی میکند. با این حال، پژوهشگران تأکید کردهاند که این شواهد بهتنهایی برای انتساب قطعی حمله کافی نیست و نسبت دادن آن به یک گروه یا کشور خاص با قطعیت امکانپذیر نیست.
چرا گوگل و مایکروسافت افزونه ModHeader را حذف کردند؟
ModHeader یک افزونه برای مرورگرهای گوگل کروم و مایکروسافت اج است که به کاربران امکان میدهد هدرهای HTTP درخواستها و پاسخهای ردوبدلشده میان مرورگر و وبسایتها را تغییر دهند. این ابزار بهطور گسترده توسط توسعهدهندگان، پژوهشگران امنیتی و متخصصان تست نرمافزار برای آزمایش رابطهای برنامهنویسی، عیبیابی برنامههای تحت وب و شبیهسازی محیطهای مختلف مورد استفاده قرار میگیرد.
این افزونه حدود ۹۰۰ هزار کاربر در مرورگر کروم و ۷۰۰ هزار کاربر در مرورگر اج دارد که مجموع کاربران آن را به بیش از ۱.۶ میلیون نفر میرساند.
بر اساس گزارش The Hacker News، مایکروسافت این افزونه را ۳ ژوئن ۲۰۲۶ از فروشگاه افزونههای خود حذف کرد و گوگل نیز ۱۰ ژوئیه همان سال همین اقدام را انجام داد و ModHeader را از فروشگاه کروم خارج کرد.
حذف افزونه از فروشگاه بهمعنای حذف آن از دستگاه کاربران نیست
پژوهشگران Stripe OLT در پایان گزارش خود اعلام کردند: «پس از افشای یافتههای ما، گوگل افزونه ModHeader را از فروشگاه کروم حذف کرد. از این اقدام استقبال میکنیم، اما حذف افزونه از فروشگاه بهمعنای رفع خودکار خطر در دستگاههایی نیست که این افزونه از قبل روی آنها نصب شده است. بنابراین، تیمهای امنیتی و مدیران فناوری اطلاعات باید همچنان نصبهای موجود را شناسایی کرده و این افزونه را از سیستمها حذف کنند.»
به بیان دیگر، حذف یک افزونه از فروشگاه رسمی مرورگر، آن را بهطور خودکار از رایانه کاربران پاک نمیکند. کاربرانی که پیشتر ModHeader را نصب کردهاند، باید بهصورت دستی آن را حذف کنند یا مدیران سازمانها از طریق ابزارهای مدیریت متمرکز، وجود این افزونه را در سیستمهای سازمانی بررسی و حذف کنند تا خطر نشت اطلاعات کاهش یابد.