تخطى إلى المحتوى الرئيسي

إزالة ModHeader من Edge: مليون مستخدم يواجهون برمجيات خبيثة محتملة

فريق جلتش
منذ ساعة1 مشاهدة5 دقائق
إزالة ModHeader من Edge: مليون مستخدم يواجهون برمجيات خبيثة محتملة

قامت مايكروسوفت بإزالة إضافة ModHeader الشهيرة من متجر Edge في 3 يوليو 2026 بعد إشارة جوجل إلى احتوائها على برمجيات خبيثة، مما يثير تساؤلات جدية حول أمان أدوات المطورين ذات الصلاحيات الواسعة.

مقدمة تحليلية

في 3 يوليو 2026، سحبت مايكروسوفت امتداد ModHeader — أداة تعديل الرؤوس التي يبلغ عدد عمليات تثبيتها المجمعة حوالي 1.6 مليون عبر متصفحي Chrome وEdge — من متجر Edge Add-ons. جاء هذا الإجراء بعد تصنيف جوجل للامتداد كبرمجيات خبيثة. كشفت تحليلات باحثي الأمن المستقلين لإصدار 7.0.18 عن وجود وحدة مخفية متنكرة في هيئة مكتبة لتنسيق التاريخ. كانت هذه الوحدة قادرة على جمع نطاقات المواقع التي تمت زيارتها وإعداد تحميل يومي مشفر إلى نقطة نهاية خارجية. لم يجد الباحثون دليلاً مؤكداً على مغادرة البيانات الفعلية لملف شخصي اختباري، مؤكدين أن المجمع كان خاملاً في الإصدار الذي اختبروه. ومع ذلك، فإن مجرد وجود هذه الإمكانية، غير المكشوف عنها وفي أداة مطورين واسعة الانتشار، يمثل نقطة تحول أمنية حاسمة.

التحليل التقني

يعود جوهر المشكلة إلى اكتشاف وحدة برمجية خبيثة ضمن الإصدار 7.0.18 من ModHeader. هذه الوحدة، التي تم تمويهها كمكتبة لتنسيق التاريخ، صُممت لجمع بيانات حساسة من المستخدمين. على الرغم من أن الباحثين أشاروا إلى أن المجمع كان في حالة خمول ولم يتم تأكيد أي عملية تسريب للبيانات أثناء اختباراتهم، فإن مجرد وجود هذه الوظيفة يمثل ثغرة أمنية كبيرة. تكمن خطورة امتدادات تعديل الرؤوس مثل ModHeader في طبيعة صلاحياتها المطلوبة وعمق دمجها في مسار التصفح.

  • الصلاحيات المطلوبة: تحتاج هذه الامتدادات إلى صلاحيات واسعة النطاق، غالباً ما تكون ، مما يمنحها القدرة على مراقبة وتعديل كل طلب واستجابة HTTP يمر عبر المتصفح. هذا يشمل الوصول إلى واجهات برمجة APIs الداخلية، وبيئات التطوير المرحلية، والجلسات المصادق عليها، مما يجعل أي تسوية أمنية لها كارثية.
  • المسار الحرج للبيانات: تجلس هذه الامتدادات مباشرة في مسار طلب/استجابة كل ما يتصفحه المستخدم، مما يعني أنها تستطيع اعتراض وفحص كل جزء من الاتصالات، بما في ذلك الرموز المميزة للجلسات ومفاتيح API والبيانات الحساسة الأخرى.

بالنظر إلى هذه الحساسية، يجب على المطورين والشركات تطبيق تدقيق صارم لأي امتداد يُستخدم في بيئات العمل. تتضمن النقاط الأساسية لتدقيق امتدادات تعديل الرؤوس ما يلي:

  • مراجعة الصلاحيات المطلوبة: هل يحتاج الامتداد فعلاً إلى صلاحية الشاملة، أم يمكن تضييق نطاق وصوله إلى نطاقات محددة؟ الصلاحيات الأقل تقلل من مخاطر الانتهاك.
  • فحص طلبات الشبكة الخاصة بالامتداد: يجب التحقق من أي اتصالات شبكة يقوم بها الامتداد نفسه، وليس فقط الصفحات التي يتصفحها المستخدم. يمكن القيام بذلك عبر chrome://extensions وتفعيل وضع المطور (Developer mode) ثم فحص عامل الخدمة (service worker) وعلامة تبويب الشبكة (Network tab).
  • البحث عن التبعيات المجمعة المشبوهة: يجب التحقق من وجود أي وحدات برمجية مجمعة لا تتوافق مع وظيفة أداة تعديل الرؤوس الأساسية. الوحدة المخفية في ModHeader المتنكرة كمكتبة لتنسيق التاريخ هي مثال كلاسيكي على كيفية إخفاء البرمجيات الخبيثة.
  • تفضيل الأدوات التي تعرض القيم الملتقطة بوضوح: إذا كانت الأداة تلتقط رموز جلسات أو مفاتيح API من رؤوس الاستجابة، يجب أن تكون القيم الفعلية الملتقطة مرئية للمستخدم، بدلاً من مجرد تأكيد "تم الالتقاط" في صندوق أسود.
  • التحول إلى declarativeNetRequest: حيثما أمكن، يجب تفضيل واجهة declarativeNetRequest البرمجية على raw webRequest blocking لتوصيل الرؤوس. declarativeNetRequest توفر واجهة API أضيق نطاقاً وأكثر عزلة (sandboxed)، مما يسهل عملية تدقيقها وتقليل مساحة الهجوم المحتملة.

السياق وتأثير السوق

تتجاوز تداعيات قضية ModHeader مجرد إزالة امتداد واحد؛ فهي تعيد تشكيل معايير الثقة لأكثر من 1.6 مليون مستخدم وأي مطور يعتمد على هذه الفئة من الأدوات. إن امتدادات تعديل الرؤوس، بحكم صلاحياتها الواسعة، تعتبر هدفاً جذاباً للمهاجمين، وهذا الحادث يسلط الضوء على الهشاشة الكامنة حتى في الأدوات التي اكتسبت ثقة مجتمعات المطورين. ينشأ تأثير السوق المباشر في تآكل الثقة، مما يدفع المستخدمين لتدقيق أدواتهم الحالية بشكل غير مسبوق، ويجبر مطوري الامتدادات الأخرى في نفس الفئة على مراجعة ممارساتهم الأمنية والشفافية.

في هذا السياق، تبرز بدائل الامتدادات التي تتبنى ممارسات أمنية أكثر صرامة وشفافية. على سبيل المثال، يقوم امتداد Header Relay، الذي يندرج ضمن نفس الفئة، على مجموعة من المبادئ التقنية التي تعالج نقاط الضعف المكتشفة في ModHeader:

  • غياب الاتصالات الخارجية: لا يحتوي Header Relay على أي كود مجمع يتصل بنقاط نهاية خارجية. منطق معالجة الرؤوس محصور في وحدة واحدة قابلة للمراجعة.
  • اعتماد declarativeNetRequest: يتم توصيل الطلبات بالكامل عبر واجهة declarativeNetRequest البرمجية من Chrome، إلى جانب التخزين المحلي، مما يقلل من مساحة الهجوم ويجعل السلوك أكثر قابلية للتدقيق.
  • شفافية البيانات: تظهر قيم الرؤوس الثابتة والملتقطة بنص واضح في النوافذ المنبثقة وصفحات الخيارات، مما يضمن أن المستخدمين يمكنهم رؤية البيانات التي يتم التعامل معها.
  • تحديد نطاق التشغيل: يقتصر سلوك الامتداد أثناء التشغيل على النطاقات التي يحددها المستخدم في ملفه الشخصي النشط، دون التفاعل مع أي شيء آخر.
  • الوصول إلى المصدر وسياسة الخصوصية: يتم توفير رابط للمصدر الكامل وسياسة الخصوصية من موقع المشروع، مما يسمح للمستخدمين بالتحقق بأنفسهم من الممارسات الأمنية بدلاً من مجرد الثقة ببيانات المنتج.

يشكل هذا التباين معياراً جديداً لتقييم الامتدادات ذات الصلاحيات العالية. لم يعد عدد التثبيتات الكبيرة كافياً لضمان السلامة؛ بل أصبح التحقق من البنية التحتية التقنية، الشفافية في التعامل مع البيانات، والاعتماد على واجهات برمجة تطبيقات المتصفح الأكثر أماناً، أمراً حتمياً. هذا الحادث سيدفع السوق نحو تفضيل الحلول التي تقدم أدلة ملموسة على التزامها بالأمان بدلاً من الوعود العامة.

رؤية Glitch4Techs

تؤكد حادثة ModHeader أن الاعتماد على الثقة بالاسم وحده في بيئة التكنولوجيا الحالية هو ترف غير مقبول. الكشف عن وحدة جمع بيانات خفية، متنكرة كمكتبة وظيفية، يمثل فشلاً أمنياً صارخاً من جانب المطورين، بغض النظر عن حالة نشاطها المزعومة. إن امتداداً يتمتع بصلاحيات واسعة النطاق مثل ModHeader، يخدم مجتمعاً كبيراً من المطورين، يجب أن يخضع لأعلى معايير الشفافية والتدقيق. حقيقة أن هذا المكون كان كامناً لا يلغي خطورته، بل يؤكد وجود نية أو ضعف أمني خطير في بنية الكود. إن الممارسات الموصى بها لتدقيق الامتدادات ليست مجرد إرشادات؛ بل هي متطلبات أساسية للحفاظ على سلامة النظام البيئي للمطورين. هذا الحادث يسلط الضوء على أن مجرد "إمكانية" جمع البيانات الحساسة، حتى لو كانت معلقة، كافية لتقويض الثقة بشكل لا يمكن إصلاحه. يجب على المستخدمين أن يدركوا أن غياب دليل على تسرب البيانات لا يساوي غياب التهديد، وأن البنية الخبيثة الكامنة هي القنبلة الموقوتة.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.

مقالات قد تهمك