افزونه های مخرب مرورگر: تهدیدها، روش های حمله و راهکارهای دفاع سازمانی

اقدامات و ابزارهای سیستماتیک که سازمان ها می توانند برای دفاع در برابر افزونه های مخرب مرورگر از آن ها استفاده کنند.

افزونه های مخرب مرورگر همچنان یک نقطه کور مهم برای بسیاری از تیم های امنیت سایبری سازمان ها محسوب می شوند. این افزونه ها به بخشی دائمی از زرادخانه مهاجمان سایبری تبدیل شده اند و برای سرقت نشست و حساب های کاربری، جاسوسی، پنهان کردن فعالیت های مجرمانه دیگر، تقلب در تبلیغات و سرقت رمزارز مورد استفاده قرار می گیرند. رخدادهای مهم مرتبط با افزونه های مخرب نیز بسیار رایج هستند؛ از نفوذ به افزونه امنیتی Cyberhaven گرفته تا انتشار گسترده افزونه های سرقت کننده اطلاعات.

افزونه ها برای مهاجمان جذاب هستند زیرا به مجوزهای مختلف و دسترسی گسترده به اطلاعات درون برنامه های SaaS و وب سایت ها دست پیدا می کنند. از آنجا که افزونه ها برنامه های مستقل محسوب نمی شوند، اغلب از دید سیاست های امنیتی استاندارد و ابزارهای کنترلی خارج می مانند.

تیم امنیت یک شرکت باید این مسئله را به صورت سیستماتیک مدیریت کند. مدیریت افزونه های مرورگر نیازمند ترکیبی از ابزارهای مدیریت سیاست گذاری و سرویس ها یا ابزارهای تخصصی تحلیل افزونه است. این موضوع محور اصلی سخنرانی Athanasios Giatsos در رویداد Security Analyst Summit 2025 بود.

افزونه های وب در مرورگرها به طیف گسترده ای از اطلاعات صفحات وب دسترسی دارند: آن ها می توانند هر داده ای را که از طریق برنامه وب در اختیار کاربر قرار می گیرد بخوانند و تغییر دهند، از جمله سوابق مالی یا پرونده های پزشکی. افزونه ها معمولا به داده های مهمی نیز دسترسی پیدا می کنند که کاربران معمولا آن ها را مشاهده نمی کنند: کوکی ها، فضای ذخیره سازی محلی و تنظیمات پراکسی. این موضوع فرایند ربایش نشست را بسیار ساده تر می کند. در برخی موارد، توانایی افزونه ها فراتر از صفحات وب است؛ آن ها می توانند به موقعیت مکانی کاربر، دانلودهای مرورگر، تصویر برداری از صفحه دسک تاپ، محتوای کلیپ بورد و اعلان های مرورگر دسترسی داشته باشند.

در معماری غالب قبلی یعنی Manifest V2، افزونه ها در مرورگرهایی مانند کروم (Chrome)، اج (Edge)، اپرا (Opera)، ویوالدی (Vivaldi)، فایرفاکس (Firefox) و سافاری (Safari) از نظر قابلیت ها تقریبا با یک برنامه کامل و مستقل تفاوتی نداشتند. این افزونه ها می توانستند اسکریپت های پس زمینه را به طور دائمی اجرا کنند، صفحات وب نامرئی را باز نگه دارند، اسکریپت ها را از وب سایت های خارجی بارگذاری و اجرا کنند و برای ارسال یا دریافت داده با سایت های مختلف ارتباط برقرار کنند. برای مهار سوء استفاده های احتمالی - و همچنین برای محدود کردن بلاکر های تبلیغاتی گوگل معماری کرومیوم (Chromium) و کروم (Chrome) را به Manifest V3 منتقل کرد. این به روز رسانی بسیاری از قابلیت های افزونه ها را محدود یا مسدود کرد. اکنون افزونه ها باید تمامی سایت هایی را که با آن ها ارتباط برقرار می کنند اعلام کنند، از اجرای کدهای خارجی بارگذاری شده به صورت پویا منع می شوند و به جای اسکریپت های پس زمینه دائمی باید از میکرو سرویس های کوتاه مدت استفاده کنند. اگر چه معماری جدید اجرای برخی حملات را دشوارتر کرده است، مهاجمان می توانند به راحتی کد مخرب خود را بازنویسی کنند تا اکثر قابلیت های ضروری را حفظ کنند، حتی اگر بخشی از پنهان کاری خود را از دست بدهند. بنابراین، تکیه صرف بر استفاده از مرورگرها و افزونه های مبتنی بر Manifest V3 در یک سازمان ممکن است نظارت را ساده تر کند، اما راه حل قطعی و کامل نیست.

علاوه بر این، Manifest V3 مشکل اصلی افزونه ها را برطرف نمی کند: افزونه ها معمولا از فروشگاه های رسمی برنامه ها و با استفاده از دامنه های معتبر گوگل، مایکروسافت (Microsoft) یا موزیلا (Mozilla) دانلود می شوند. فعالیت آن ها از دید مرورگر کاملا طبیعی و مشابه اقدامات کاربر به نظر می رسد، بنابراین تشخیص این که یک رفتار توسط افزونه انجام شده یا خود کاربر بسیار دشوار است.

براساس مجموعه ای از رخداد های عمومی، Athanasios Giatsos چندین سناریو را برجسته می کند که در آن ها افزونه های مخرب ظاهر می شوند:

• فروش افزونه های قانونی و محبوب توسط توسعه دهنده اصلی: خریدار جدید سپس آن را با افزودن کدهای مخرب برای نمایش تبلیغات، جاسوسی یا دیگر اهداف مجرمانه "بهبود" می دهد. نمونه هایی از این موارد شامل The Great Suspender و Page Ruler هستند.
• نفوذ مهاجمان به حساب توسعه دهنده و انتشار یک به روز رسانی تروجان شده: این اتفاق در مورد افزونه Cyberhaven رخ داد.
• طراحی افزونه به صورت کاملا مخرب از همان ابتدا: این افزونه ها ممکن است در ظاهر یک ابزار مفید باشند، مانند نسخه جعلی Save to Google Drive، یا با تقلید از نام و طراحی افزونه های محبوب فعالیت کنند، مانند ده ها نسخه کپی AdBlock.
• نسخه پیچیده تر این روش: در این سناریو افزونه ابتدا در حالتی سالم منتشر می شود و واقعا یک کار مفید انجام می دهد. سپس پس از چند هفته یا چند ماه و پس از کسب محبوبیت کافی، بخش های مخرب به آن اضافه می شوند. افزونه ChatGPT for Google یک نمونه از این روش است.

در همه این سناریوها، افزونه در فروشگاه Chrome Web Store به طور گسترده در دسترس است و حتی ممکن است تبلیغ هم شود. با این حال، یک سناریوی حمله هدفمند نیز وجود دارد که در آن صفحات یا پیام های فیشینگ، قربانی را به نصب یک افزونه مخرب که در دسترس عموم نیست ترغیب می کنند.

توزیع متمرکز از طریق Chrome Web Store، به همراه به روز رسانی های خودکار برای مرورگر و افزونه ها، اغلب باعث می شود کاربران بدون هیچ تلاشی و حتی بدون آگاهی، یک افزونه مخرب را دریافت کنند. اگر افزونه ای که روی سیستم نصب شده است یک به روز رسانی مخرب دریافت کند، این به روز رسانی به طور خودکار نصب خواهد شد.

در سخنرانی خود، Athanasios چندین توصیه کلی ارائه کرد:

• اتخاذ یک سیاست سازمانی درباره استفاده از افزونه های مرورگر.
• ممنوعیت هر افزونه ای که به طور صریح در فهرست تایید شده توسط تیم های امنیت سایبری و فناوری اطلاعات قرار نگرفته باشد.
• ممیزی مداوم تمام افزونه های نصب شده و نسخه های آن ها.
• در هنگام به روز رسانی افزونه ها، بررسی تغییرات در مجوزهای داده شده به آن ها و نظارت بر هرگونه تغییر در مالکیت یا تیم توسعه دهنده افزونه.
• گنجاندن آموزش های مرتبط با خطرات و قوانین استفاده از افزونه ها در برنامه های آگاهی رسانی امنیتی برای تمام کارکنان.

ما به این توصیه ها چند نکته عملی و ملاحظات تخصصی نیز اضافه می کنیم.

فهرست محدود افزونه ها و مرورگرها. علاوه بر اعمال سیاست های امنیتی بر مرورگر رسمی شرکت، ضروری است نصب نسخه های پورتابل یا مرورگرهای مد روز مبتنی بر هوش مصنوعی مانند کامت (Comet) یا دیگر مرورگر های تایید نشده که امکان نصب همان افزونه های خطرناک را دارند ممنوع شود. هنگام اجرای این مرحله، مطمئن شوید که سطح دسترسی مدیر محلی فقط برای کارکنان بخش فناوری اطلاعات یا افرادی که وظایف شغلی آن ها مستلزم چنین دسترسی ای است مجاز باشد.

به عنوان بخشی از سیاست مرورگر اصلی سازمان، باید حالت توسعه دهنده غیرفعال شود و نصب افزونه از طریق فایل های محلی ممنوع گردد. در کروم می توان این موارد را از طریق Admin console مدیریت کرد. این تنظیمات در Windows Group Policies، پروفایل های پیکربندی macOS و همچنین فایل سیاست JSON در لینوکس نیز قابل اجرا هستند.

به روز رسانی های مدیریت شده. نسخه پینینگ (Pinning) را پیاده سازی کنید تا از نصب خودکار نسخه های جدید افزونه های مجاز در سراسر سازمان جلوگیری شود. تیم های فناوری اطلاعات و امنیت سایبری باید نسخه های جدید افزونه های تایید شده را به طور منظم آزمایش کرده و تنها پس از بررسی کامل، نسخه های جدید را به عنوان نسخه مجاز ثبت کنند.

دفاع چند لایه. نصب یک عامل EDR روی همه دستگاه های سازمانی الزامی است تا از اجرای مرورگرهای غیرمجاز جلوگیری کند، خطرات ناشی از دسترسی کاربر به صفحات فیشینگ را کاهش دهد و دانلود بد افزار را مسدود کند. همچنین باید درخواست های DNS و ترافیک شبکه مرورگر در سطح فایروال پایش شود تا ارتباط با میزبان های مشکوک و دیگر رفتارهای غیرعادی به صورت آنی شناسایی شود.

پایش مداوم. از راهکارهای EDR و SIEM برای جمع آوری جزئیات وضعیت مرورگر از ایستگاه های کاری کارکنان استفاده کنید. این داده ها شامل لیست افزونه های نصب شده در هر مرورگر به همراه فایل های Manifest برای تحلیل نسخه و مجوزها است. این کار امکان شناسایی سریع افزونه های جدید، یا به روز رسانی نسخه های موجود و تغییر در مجوزهای آن ها را فراهم می کند.

برای اجرای کنترل هایی که در بخش های بالا توضیح داده شد، شرکت باید یک پایگاه داده داخلی از افزونه های مجاز و ممنوع ایجاد کند. متاسفانه فروشگاه های نرم افزاری و خود مرورگرها هیچ ساز و کاری برای ارزیابی ریسک در مقیاس سازمانی یا پر کردن خودکار چنین فهرستی ارائه نمی کنند. بنابراین، تیم امنیت سایبری باید هم این فرایند و هم فهرست مربوط به آن را ایجاد کند. همچنین کارکنان باید یک روند رسمی برای ارسال درخواست جهت اضافه شدن افزونه های مورد نیاز به فهرست افزونه های تایید شده داشته باشند.

ارزیابی نیاز سازمانی و بررسی گزینه های جایگزین بهتر است با همکاری نماینده واحد کاری مربوطه انجام شود. با این حال، ارزیابی ریسک به طور کامل بر عهده تیم امنیت است. نیازی نیست که افزونه ها به صورت دستی دانلود و بین فروشگاه های مختلف مقایسه شوند. طیف گسترده ای از ابزارها می توانند این کار را انجام دهند، از جمله ابزارهای متن باز، سرویس های آنلاین رایگان و پلتفرم های تجاری.

سرویس هایی مانند Spin.AI و Koidex (که قبلا ExtensionTotal نام داشت) می توانند برای سنجش نمایه کلی ریسک افزونه ها استفاده شوند. هر دوی این سرویس ها یک پایگاه داده از افزونه های محبوب دارند، بنابراین ارزیابی معمولا فوری انجام می شود. آن ها از مدل های زبانی برای تولید خلاصه ای کوتاه از ویژگی های افزونه استفاده می کنند و همچنین تحلیل های دقیق شامل مجوزهای مورد نیاز، پروفایل توسعه دهنده، و سابقه نسخه ها، رتبه بندی ها و تعداد دانلودها را ارائه می دهند.

برای بررسی داده های اصلی افزونه ها می توانید از Chrome-Stats نیز استفاده کنید. اگر چه این ابزار در اصل برای توسعه دهندگان افزونه طراحی شده است، اما رتبه بندی ها، بازخوردها و سایر داده های فروشگاهی را نمایش می دهد. نکته مهم این است که این سرویس امکان دانلود مستقیم نسخه فعلی و چند نسخه قبلی یک افزونه را فراهم می کند که فرآیند بررسی رخدادها را ساده تر می کند.

برای تحلیل عمیق تر افزونه های مشکوک یا افزونه های حیاتی برای سازمان می توانید از ابزارهایی مانند CRX Viewer استفاده کنید. این ابزار به تحلیل گران اجازه می دهد اجزای داخلی افزونه را بررسی کنند و محتوای مربوط، به ویژه فایل های HTML و JavaScript را با قابلیت فیلتر کردن و نمایش سازمان یافته مشاهده کنند.