一款拥有逾百万用户的热门 Chrome 图片格式转换扩展程序“Save Image as Type”近日被曝遭到黑客接管并植入恶意代码，安全研究人员呼吁相关用户立即卸载该扩展。 Google已在本月早些时候将其下架，但在此之前，这款工具很可能已经在数周时间里静默篡改了成千上万名用户的浏览器行为。 调查显示，幕后团伙还与数十款被劫持的 Chrome 和 Edge 扩展有关联。

在浏览器扩展长期成为攻击者“香饽饽”的背景下，此次事件再次凸显扩展生态的安全隐患。 各大浏览器厂商虽会定期清理打着广告屏蔽、视频下载或免费 VPN 旗号、实则夹带恶意代码的扩展，但仍难以及时发现所有问题。 在“Save Image as Type”这一案例中，攻击者瞄准的是随着 WebP 等新一代图片格式普及而愈发常用的一类功能：将网页图片一键转换为更通用格式，便于本地使用。

目前，大多数网站为加快加载速度、节省带宽，已广泛采用 WebP 和 AVIF 等现代图片格式，这些格式在保持与 JPEG、PNG 接近画质的前提下，文件体积更小。 然而，WebP 在许多浏览器外常用应用中仍缺乏完善支持，导致用户在本地处理这类图片时常遇到兼容性问题。 为绕过这一障碍，不少人会安装浏览器扩展，将图片自动转换为传统格式，这也为攻击者提供了切入口。

与其从零开发一个陌生的恶意扩展，攻击者越来越倾向于接管已经建立起用户信任基础的现有扩展。 有的团伙通过漏洞入侵开发者账号，而此次操纵“Save Image as Type”的团体“Karma”则似乎采取了更简单直接的方式——直接从原作者手中收购这款扩展。 依据 XDA Developers 的分析，该扩展在去年 11 月 13 日至 29 日之间易主，并在当月底被植入新代码，用于重定向用户流量，从而从亚马逊、Adidas、Shein 等零售商的购物行为中“薅取”联盟佣金。

安全研究员 Wladimir Palant 在 2024 年底和 2025 年初对 Karma 的活动进行了记录和分析，发现该团体与多款携带类似恶意负载的 Chrome 扩展有关。 微软方面则在 2025 年从 Edge 商店下架了一款图片转换扩展，并将其标记为恶意软件，但据 XDA 称，这款扩展来自不同开发者，也未发现与 Karma 在代码上的直接关联。

对于担心自己可能受到影响的用户，安全专家建议立刻卸载“Save Image as Type”，并更换其他可靠替代方案。 XDA 还发布了检测方法，帮助用户确认这款被攻陷的扩展是否在系统中留下了残余痕迹。 在浏览器扩展屡屡成为攻击跳板的现实下，用户在选用和长期保留扩展时，或许需要更加审慎，及时关注扩展所有权及权限变更等异常信号。