افزونه‌های مخربی که کاربران ChatGPT را هدف گرفتند

پژوهشگران امنیت سایبری می‌گویند مجموعه‌ای از افزونه‌های مخرب کروم شناسایی شده که با دستکاری لینک‌های همکاری در فروش و سرقت داده‌ها، بدون اطلاع کاربران به حساب‌های ChatGPT آن‌ها دسترسی پیدا می‌کنند.

به گزارش افتانا، افزونه‌های مخرب کروم شناسایی شده‌اند که با دستکاری لینک‌های همکاری در فروش و سرقت اطلاعات، به‌طور پنهانی به حساب‌های ChatGPT کاربران دسترسی پیدا می‌کنند. این افزونه‌ها که در ظاهر به‌عنوان ابزارهای کاربردی و کمکی معرفی شده‌اند در عمل به ابزاری برای کسب درآمد غیرقانونی و نقض حریم خصوصی کاربران تبدیل شده‌اند.

یکی از این افزونه‌ها با نام Amazon Ads Blocker منتشر شده بود و ادعا می‌کرد امکان مرور سایت آمازون بدون نمایش محتوای تبلیغاتی را فراهم می‌کند. این افزونه در ژانویه ۲۰۲۶ توسط ناشری با نام 10Xprofit در فروشگاه کروم منتشر شد. بررسی‌ها نشان می‌دهد اگرچه این افزونه واقعاً تبلیغات را مسدود می‌کند، اما عملکرد اصلی آن به‌صورت پنهانی انجام می‌شود؛ به‌طوری‌که به‌طور خودکار شناسه همکاری در فروش توسعه‌دهنده را به تمام لینک‌های محصولات آمازون اضافه کرده و در صورت وجود شناسه متعلق به تولیدکنندگان محتوا یا وب‌سایت‌ها، آن‌ها را جایگزین می‌کند.

تحقیقات بیشتر مشخص کرده است که این افزونه تنها بخشی از یک شبکه گسترده‌تر شامل دست‌کم ۲۹ افزونه مرورگر است که چندین پلتفرم تجارت الکترونیک از جمله آمازون، بست‌بای، شین، شاپیفای و والمارت را هدف قرار داده‌اند. این افزونه‌ها بدون اطلاع یا اقدام مستقیم کاربر، لینک‌های محصولات را بررسی کرده و شناسه‌های همکاری در فروش موجود را با شناسه‌های متعلق به مهاجمان جایگزین می‌کنند یا در صورت نبود چنین شناسه‌ای، کد خود را به لینک اضافه می‌کنند.

شرکت Socket که این فعالیت‌ها را شناسایی کرده، می‌گوید توضیحات ارائه‌شده در صفحه معرفی این افزونه‌ها در فروشگاه کروم گمراه‌کننده بوده و به‌دروغ عنوان شده که توسعه‌دهندگان تنها از طریق استفاده کاربران از کدهای تخفیف، کمیسیون اندکی دریافت می‌کنند. این در حالی است که لینک‌های همکاری در فروش یکی از منابع اصلی درآمد تولیدکنندگان محتوا در وب‌سایت‌ها و شبکه‌های اجتماعی به‌شمار می‌روند و جایگزینی آن‌ها عملاً باعث قطع درآمد این افراد می‌شود.

به گفته پژوهشگران، این رفتارها نقض صریح سیاست‌های فروشگاه Chrome Web Store است، زیرا افزونه‌هایی که از لینک‌های همکاری در فروش استفاده می‌کنند موظف‌اند نحوه عملکرد خود را به‌صورت شفاف اعلام کرده و فقط با رضایت و اقدام کاربر، لینک‌ها را تغییر دهند و هرگز شناسه‌های موجود را جایگزین نکنند. همچنین ترکیب قابلیت‌های نامرتبط مانند مسدودسازی تبلیغات و دستکاری لینک‌های همکاری در فروش در یک افزونه واحد، برخلاف سیاست هدف واحد گوگل ارزیابی می‌شود.

در کنار این موارد، مشخص شده است برخی از این افزونه‌ها داده‌های مربوط به محصولات را جمع‌آوری کرده و به سرورهایی خارج از مرورگر ارسال می‌کنند. برخی افزونه‌های مرتبط با برخی فروشگاه‌ها حتی تایمرهای جعلی با عنوان تخفیف محدود نمایش می‌دهند تا با ایجاد حس فوریت، کاربران را به خرید سریع‌تر ترغیب کرده و از این طریق کمیسیون همکاری در فروش دریافت کنند.
هم‌زمان با این افشاگری، شرکت سمانتک نیز چند افزونه دیگر را شناسایی کرده که مجموعاً بیش از صد هزار کاربر داشته‌اند و برای سرقت داده طراحی شده‌اند. این افزونه‌ها قابلیت‌هایی مانند دسترسی از راه دور به کلیپ‌بورد، سرقت کوکی‌ها، تزریق تبلیغات و اجرای کدهای مخرب را در اختیار مهاجمان قرار می‌دهند. پژوهشگران هشدار داده‌اند که حتی نصب افزونه‌ها از منابع به‌ظاهر معتبر نیز می‌تواند خطرناک باشد.

در بخش دیگری از این گزارش، شبکه‌ای متشکل از ۱۶ افزونه مرتبط با ChatGPT شناسایی شده است که با تزریق کد به وب‌سایت chatgpt.com، توکن‌های احراز هویت کاربران را سرقت می‌کنند. این افزونه‌ها که با عناوین مختلفی مانند مدیریت گفت‌وگو، دانلود صدا، بهینه‌سازی پرامپت و ابزارهای جانبی ChatGPT منتشر شده‌اند، امکان دسترسی کامل به حساب کاربری، تاریخچه گفت‌وگوها و داده‌های حساس کاربران را برای مهاجمان فراهم می‌کنند.

کارشناسان امنیتی هشدار داده‌اند که با گسترش استفاده از ابزارهای مبتنی بر هوش مصنوعی در محیط‌های کاری و سازمانی، مرورگر وب به یکی از مهم‌ترین سطوح حمله تبدیل شده است. افزونه‌هایی که دسترسی گسترده به داده‌ها و سطح اجرای بالایی در مرورگر دارند، می‌توانند بدون سوءاستفاده از آسیب‌پذیری‌های فنی، دسترسی پایدار و پنهانی برای مهاجمان ایجاد کنند.

در همین راستا، گزارش‌هایی نیز از ظهور یک ابزار بدافزاری جدید با مدل بدافزار به‌عنوان سرویس، منتشر شده است که امکان ساخت افزونه‌های مخرب کروم را فراهم می‌کند. این افزونه‌ها قادرند صفحات فیشینگ را به‌گونه‌ای نمایش دهند که آدرس واقعی وب‌سایت در نوار مرورگر تغییری نکند؛ روشی که می‌تواند حتی کاربران هوشیار را نیز فریب دهد. کارشناسان معتقدند با افزایش دورکاری، استفاده گسترده از سرویس‌های ابری و سیاست‌های BYOD، مرورگر عملاً به نقطه پایانی جدید کاربران و سازمان‌ها تبدیل شده و افزونه‌های مخرب به یکی از جدی‌ترین تهدیدات امنیتی در فضای سایبری تبدیل شده‌اند.