Onlangs werd onthuld dat een populaire conversie-extensie voor het Chrome-beeldformaat "Afbeelding opslaan als type" met meer dan een miljoen gebruikers is overgenomen door hackers en dat er kwaadaardige code is geïmplanteerd. Beveiligingsonderzoekers riepen relevante gebruikers op om de extensie onmiddellijk te verwijderen. Google verwijderde het eerder deze maand, maar daarvoor knoeide de tool waarschijnlijk wekenlang stilletjes met het browsergedrag van tienduizenden gebruikers. Uit onderzoek bleek dat de groep achter de aanval ook verband hield met tientallen gekaapte Chrome- en Edge-extensies.
Tegen de achtergrond dat browserextensies lange tijd een populair doelwit zijn geweest voor aanvallers, benadrukt dit incident nogmaals de veiligheidsrisico's van het extensie-ecosysteem. Hoewel grote browserfabrikanten regelmatig extensies opschonen die zich voordoen als advertentieblokkering, videodownload of gratis VPN, maar in werkelijkheid kwaadaardige code bevatten, is het nog steeds lastig om alle problemen op tijd op te sporen. In het geval van 'Afbeelding opslaan als type' richtte de aanvaller zich op een type functie dat steeds gebruikelijker is geworden met de populariteit van nieuwe generatie afbeeldingsformaten zoals WebP: conversie van webpagina-afbeeldingen met één klik naar een gebruikelijker formaat voor lokaal gebruik.
Om het laden te versnellen en bandbreedte te besparen, gebruiken de meeste websites momenteel moderne beeldformaten zoals WebP en AVIF. Deze formaten hebben kleinere bestandsgroottes terwijl de beeldkwaliteit dicht bij die van JPEG en PNG blijft. WebP ontbeert echter nog steeds volledige ondersteuning in veel veelgebruikte applicaties buiten browsers, waardoor gebruikers vaak compatibiliteitsproblemen tegenkomen bij het lokaal verwerken van dergelijke afbeeldingen. Om dit obstakel te omzeilen, zullen veel mensen browserextensies installeren om afbeeldingen automatisch naar traditionele formaten te converteren, wat ook een toegangspunt voor aanvallers biedt.
In plaats van een onbekende kwaadaardige extensie helemaal opnieuw te ontwikkelen, nemen aanvallers steeds vaker bestaande extensies over die al een gevestigde basis van gebruikersvertrouwen hebben. Sommige groepen dringen ontwikkelaarsaccounts binnen via mazen in de wet, maar deze keer lijkt de groep "Karma" die "Afbeelding opslaan als type" manipuleert een eenvoudiger en directere aanpak te hebben gekozen: ze hebben de extensie rechtstreeks van de oorspronkelijke auteur overgenomen. Volgens analyse door XDA Developers is de extensie tussen 13 en 29 november vorig jaar van eigenaar veranderd en werd er aan het einde van die maand nieuwe code geïmplanteerd om gebruikersverkeer om te leiden om affiliate-commissies te "verdienen" uit winkelgedrag bij Amazon, Adidas, Shein en andere retailers.
Beveiligingsonderzoeker Wladimir Palant documenteerde en analyseerde de activiteiten van Karma eind 2024 en begin 2025 en ontdekte dat de groep in verband werd gebracht met meerdere Chrome-extensies met soortgelijke kwaadaardige ladingen. Microsoft heeft in 2025 een extensie voor beeldconversie uit de Edge Store verwijderd en gemarkeerd als malware. Volgens XDA kwam deze extensie echter van een andere ontwikkelaar en werd er geen directe codeverbinding met Karma gevonden.
Voor gebruikers die bang zijn dat zij hierdoor getroffen worden, raden beveiligingsexperts aan om Save Image as Type onmiddellijk te verwijderen en te vervangen door andere betrouwbare alternatieven. XDA heeft ook detectiemethoden vrijgegeven om gebruikers te helpen bevestigen of de gecompromitteerde extensie sporen op het systeem heeft achtergelaten. In de realiteit dat browserextensies herhaaldelijk een springplank voor aanvallen zijn geworden, moeten gebruikers wellicht voorzichtiger zijn bij het selecteren en langdurig behouden van extensies, en tijdig aandacht besteden aan abnormale signalen zoals eigendom van de extensie en wijzigingen in de rechten.