Extension lưu ảnh WebP phổ biến nhất Chrome bị phát hiện chứa mã độc, hơn 1 triệu người dùng bị ảnh hưởng

Đầu tháng 3/2026, Google chính thức vô hiệu hóa extension "Save Image as Type" trên Chrome và gỡ khỏi Chrome Web Store, kèm cảnh báo gửi đến toàn bộ người dùng: extension chứa malware và không an toàn. Đây là công cụ chuyển đổi ảnh WebP sang PNG/JPG từng có hơn 1 triệu lượt cài đặt, 1.700 đánh giá và đạt 4,2/5 sao - thuộc hàng phổ biến nhất trong danh mục xử lý ảnh trên Chrome.

Theo phân tích kỹ thuật từ XDA, extension chứa một file mã độc có tên inject.js, hoạt động theo cơ chế "cookie stuffing" - tức chèn cookie affiliate tracking vào trình duyệt người dùng thông qua các iframe ẩn. Mỗi khi người dùng truy cập các trang mua sắm như Amazon, Best Buy hay bất kỳ trang nào trong danh sách khoảng 578 website, extension âm thầm thay thế mã affiliate gốc bằng mã của nhóm đứng sau, từ đó ăn cắp hoa hồng từ các affiliate chính đáng. Toàn bộ URL affiliate đều trỏ về một dịch vụ chuyển hướng tên Karmanow.

Đáng chú ý, mã độc được thiết kế để né phát hiện. Extension chỉ kích hoạt payload sau khi người dùng đã lưu ít nhất 10 ảnh, iframe ẩn chỉ tồn tại 8,5 giây rồi tự xóa, và toàn bộ cơ chế này không chạy trên các trang dành cho nhà phát triển — nơi dễ bị kiểm tra nhất.

Về nguồn gốc, "Save Image as Type" ban đầu là một extension sạch do nhà phát triển Trung Quốc tên cuixiping tạo ra. Phiên bản 1.2.3 phát hành tháng 5/2023 hoàn toàn vô hại — background script chỉ nặng 5,9 KB, không có content script hay bất kỳ quyền truy cập nào vào nội dung trang web. Tuy nhiên, đến phiên bản 1.4.6 vào cuối năm 2024, extension xuất hiện thêm file inject.js nặng tới 428 KB, được inject vào mọi trang HTTP và HTTPS mà người dùng truy cập.

Vào khoảng tháng 11/2025, repository GitHub gốc của extension bị xóa, sau đó quyền sở hữu trên Chrome Web Store được chuyển sang tài khoản "laurenbridgecool" kèm bản cập nhật chứa mã độc. Đây là chiến thuật quen thuộc trong giới malware: mua lại extension đã có lượng người dùng lớn, rồi cập nhật payload độc hại mà người dùng không hay biết.

Nhà nghiên cứu bảo mật Wladimir Palant đã công khai tài liệu về mạng lưới này từ tháng 10/2024, liên kết 12 extension bị xâm nhập với một công ty Israel tên Karma Shopping Ltd. Microsoft Edge gỡ phiên bản extension này khỏi kho tiện ích mở rộng ngay từ tháng 2/2025 với lý do phát hiện malware. Trong khi đó, Google vẫn giữ "Save Image as Type" trên Chrome Web Store - thậm chí còn gắn badge "Featured" - cho đến tận tháng 3/2026. Hơn 1 triệu người dùng Chrome bị dính mã độc suốt nhiều tháng giữa lúc Google không có hành động gì.

Hành vi của extension này gợi nhớ đến vụ bê bối Honey - extension coupon của PayPal bị phanh phui năm 2024 vì cũng đánh cắp affiliate link của người dùng và các nhà sáng tạo nội dung.

Người dùng đã cài "Save Image as Type" nên gỡ bỏ extension ngay lập tức. Các lựa chọn thay thế gồm Save Image As PNG, Save Image As JPG/PNG/WebP, và Save Image Converter - những extension hiện chưa phát hiện vấn đề bảo mật tương tự.