百萬用戶中招！Chrome熱門擴充功能藏惡意程式碼遭緊急下架

圖、文／品觀點

Google近日將Chrome擴充功能「Save image as Type」標記為惡意軟體並強制下架。該工具原本廣受歡迎，主打將網頁圖片直接轉存為JPG或PNG格式，累積超過100萬用戶、約1700則評價，平均評分達4.2顆星，甚至曾被列為官方精選工具。

安全專家在該擴充功能的inject.js檔案中發現惡意程式碼，會在背景與外部伺服器通訊，記錄使用者瀏覽的網站清單。更嚴重的是，當用戶進行網購時，程式會透過隱藏機制將原本的商品連結替換為帶有分潤機制的連結，使購買佣金流向幕後操作者。

這類手法屬於「Cookie填充」，是常見的聯盟行銷詐欺行為，受影響網站超過578個。該惡意程式並非隨時啟動，而是設計特定條件才會觸發，例如用戶需先下載一定數量圖片，且頁面圖片數量達門檻才會運作，以降低被察覺風險。

分析顯示，問題可能與該擴充功能在2024年8月更換持有者有關，開發者聯絡資訊由Image4Tools改為Lauren Bridge，顯示工具可能曾被轉售後開始出現異常行為。微軟早在2024年底就將該擴充功能從Edge瀏覽器移除，但Chrome平台直到2026年3月才正式採取行動。目前該擴充功能頁面已顯示「無法存取這個項目」，相關頁面也已關閉。專家建議需要類似功能的用戶可改用「Save Image As PNG」等符合安全規範的替代工具。

免責聲明：本文為合作外稿授權《民視新聞網》原文轉載，如對內文有任何疑問請逕與原作單位確認。

【原文出處】：百萬用戶中招！Chrome熱門擴充功能藏惡意程式碼遭緊急下架