Ponad milion użytkowników Chrome w niebezpieczeństwie. Przejęto popularne rozszerzenie

Użytkownicy przeglądarki Google Chrome, którzy od końca ubiegłego roku korzystali z rozszerzenia Save Image as Type, powinni jak najszybciej je odinstalować. Narzędzie, cenione za łatwą konwersję obrazów do popularnych formatów, zostało przejęte przez nowych właścicieli, którzy dodali do niego złośliwy kod.

Tym razem nie chodziło o klasyczne malware wykradające dane logowania. Złośliwy kod miał za zadanie przekierowywać ruch użytkownika i podmieniać linki partnerskie, aby atakujący mogli przejmować prowizje afiliacyjne z zakupów realizowanych m.in. w sklepach takich jak Amazon, Adidas czy Shein. To pozornie mniej groźny scenariusz, ale pokazuje, jak łatwo rozszerzenie z dostępem do przeglądarki może zostać wykorzystane do cichej manipulacji aktywnością użytkownika.

Google usunęło dodatek z oficjalnego sklepu, ale dopiero po tym, jak przez kilka tygodni mógł działać na komputerach tysięcy użytkowników.

Popularna funkcja stała się idealną przynętą

Rozszerzenia tego typu zyskały na znaczeniu wraz z popularyzacją formatów WebP i AVIF. Strony internetowe chętnie z nich korzystają, bo pozwalają zmniejszyć rozmiar plików bez dużej utraty jakości. Problem w tym, że poza przeglądarką obsługa WebP nadal bywa ograniczona, dlatego wiele osób instaluje dodatki, które automatycznie zapisują obrazy jako JPG lub PNG. Cyberprzestępcy postanowili to zaś wykorzystać. 

Zamiast tworzyć malware od zera, kupili zaufane rozszerzenie

Według doniesień atakujący, powiązani z grupą określaną jako Karma, nie stworzyli nowego dodatku od podstaw. Zamiast tego mieli po prostu kupić istniejące rozszerzenie od pierwotnego twórcy, a następnie dodać do niego złośliwe mechanizmy. Jak alarmują specjaliści, to coraz popularniejsza metoda, bo przejęcie zaufanego projektu bywa skuteczniejsze niż promowanie zupełnie nowego narzędzia.

Jeśli korzystacie z Save Image as Type, najlepiej natychmiast je odinstalować i poszukać bezpiecznej alternatywy. Warto też sprawdzić listę zainstalowanych rozszerzeń w Chrome i Edge, bo podobne incydenty dotyczą coraz większej liczby dodatków.