Google近日將Chrome擴充功能「Save image as Type」標記為惡意軟體並強制下架。該工具原本廣受歡迎,主打將網頁圖片直接轉存為JPG或PNG格式,累積超過100萬用戶、約1700則評價,平均評分達4.2顆星,甚至曾被列為官方精選工具。
安全專家在該擴充功能的inject.js檔案中發現惡意程式碼,會在背景與外部伺服器通訊,記錄使用者瀏覽的網站清單。更嚴重的是,當用戶進行網購時,程式會透過隱藏機制將原本的商品連結替換為帶有分潤機制的連結,使購買佣金流向幕後操作者。
這類手法屬於「Cookie填充」,是常見的聯盟行銷詐欺行為,受影響網站超過578個。該惡意程式並非隨時啟動,而是設計特定條件才會觸發,例如用戶需先下載一定數量圖片,且頁面圖片數量達門檻才會運作,以降低被察覺風險。
分析顯示,問題可能與該擴充功能在2024年8月更換持有者有關,開發者聯絡資訊由Image4Tools改為Lauren Bridge,顯示工具可能曾被轉售後開始出現異常行為。微軟早在2024年底就將該擴充功能從Edge瀏覽器移除,但Chrome平台直到2026年3月才正式採取行動。目前該擴充功能頁面已顯示「無法存取這個項目」,相關頁面也已關閉。專家建議需要類似功能的用戶可改用「Save Image As PNG」等符合安全規範的替代工具。
