Il a récemment été révélé qu'une extension de conversion de format d'image Chrome populaire, "Enregistrer l'image en tant que type", comptant plus d'un million d'utilisateurs, avait été piratée et qu'un code malveillant avait été implanté. Les chercheurs en sécurité ont appelé les utilisateurs concernés à désinstaller l'extension immédiatement. Google l'a supprimé plus tôt ce mois-ci, mais avant cela, l'outil modifiait probablement silencieusement le comportement du navigateur de dizaines de milliers d'utilisateurs pendant des semaines. Les enquêtes ont révélé que le groupe à l'origine de l'attaque était également lié à des dizaines d'extensions Chrome et Edge détournées.
Alors que les extensions de navigateur sont depuis longtemps une cible populaire pour les attaquants, cet incident met une fois de plus en évidence les risques de sécurité de l’écosystème des extensions. Bien que les principaux fabricants de navigateurs nettoient régulièrement les extensions qui prétendent bloquer les publicités, télécharger des vidéos ou VPN gratuit, mais contiennent en réalité du code malveillant, il est toujours difficile de détecter tous les problèmes à temps. Dans le cas de « Save Image as Type », l'attaquant a ciblé un type de fonction qui est devenu de plus en plus courant avec la popularité des formats d'image de nouvelle génération tels que WebP : la conversion en un clic des images de pages Web dans un format plus courant pour une utilisation locale.
Actuellement, afin d'accélérer le chargement et d'économiser de la bande passante, la plupart des sites Web ont largement adopté des formats d'image modernes tels que WebP et AVIF. Ces formats ont des tailles de fichiers plus petites tout en conservant une qualité d'image proche de celle du JPEG et du PNG. Cependant, WebP ne dispose toujours pas d'une prise en charge complète dans de nombreuses applications couramment utilisées en dehors des navigateurs, ce qui amène les utilisateurs à rencontrer souvent des problèmes de compatibilité lors du traitement local de ces images. Afin de contourner cet obstacle, de nombreuses personnes installent des extensions de navigateur pour convertir automatiquement les images aux formats traditionnels, ce qui constitue également un point d'entrée pour les attaquants.
Plutôt que de développer une extension malveillante inconnue à partir de zéro, les attaquants s’emparent de plus en plus d’extensions existantes qui bénéficient déjà d’une base établie de confiance des utilisateurs. Certains groupes envahissent les comptes des développeurs à travers des failles, mais cette fois le groupe "Karma" qui manipule "Save Image as Type" semble avoir adopté une approche plus simple et plus directe : acquérir l'extension directement auprès de l'auteur original. Selon l'analyse de XDA Developers, l'extension a changé de propriétaire entre le 13 et le 29 novembre de l'année dernière, et un nouveau code a été implanté à la fin de ce mois pour rediriger le trafic des utilisateurs vers « gagner » des commissions d'affiliation sur le comportement d'achat chez Amazon, Adidas, Shein et d'autres détaillants.
Le chercheur en sécurité Wladimir Palant a documenté et analysé les activités de Karma fin 2024 et début 2025 et a découvert que le groupe était associé à plusieurs extensions Chrome transportant des charges utiles malveillantes similaires. Microsoft a supprimé une extension de conversion d'image du magasin Edge en 2025 et l'a marquée comme malware. Cependant, selon XDA, cette extension provenait d'un autre développeur et aucune connexion directe de code avec Karma n'a été trouvée.
Pour les utilisateurs qui craignent d'être affectés, les experts en sécurité recommandent de désinstaller immédiatement Save Image as Type et de le remplacer par d'autres alternatives fiables. XDA a également publié des méthodes de détection pour aider les utilisateurs à confirmer si l'extension compromise a laissé des traces résiduelles sur le système. Dans la réalité où les extensions de navigateur sont devenues à plusieurs reprises un tremplin pour les attaques, les utilisateurs devront peut-être être plus prudents lors de la sélection et de la conservation des extensions pendant une longue période, et prêter attention aux signaux anormaux tels que la propriété de l'extension et les modifications d'autorisation en temps opportun.