在安全研究人员发现 Chrome 扩展程序”Save Image as Type” 被劫持并篡改以重定向用户流量进行联盟欺诈后,谷歌已将该扩展程序下架。该扩展程序在被移除时拥有超过一百万用户。据悉,此次入侵由一个名为 Karma 的组织实施,该组织在 2025 年 11 月 13 日至 11 月 29 日期间从原开发者手中购得了此扩展程序。到 11 月底,新代码被植入,用于拦截通过亚马逊、阿迪达斯和 Shein 等零售商进行的购买行为,从而使攻击者能够从受影响用户的交易中获取联盟营销佣金。被注入的代码在后台秘密重定向用户流量,浏览器中无明显迹象。这意味着用户在受支持的零售网站浏览和购买时,其会话会被篡改,以便将收益计入 Karma 的联盟账户。尽管存在此恶意行为,该扩展程序作为图像转换工具仍能正常运行,因此难以察觉。谷歌于 2026 年 3 月上旬将该扩展程序下架,但有害版本可能已在被移除前活跃了数周。该扩展的用户应立即将其卸载,以规避风险。
安全研究员弗拉基米尔·帕兰特分析了 Karma 在 2024 年底至 2025 年初的活动,将该组织与众多共享类似恶意负载的 Chrome 扩展程序联系起来。 Karma 并非从头设计新的恶意扩展程序,而是经常从原开发者那里购买现有且受信任的扩展程序,然后在购买后添加恶意代码。
