Buzz
Google đã mất hơn một năm để gỡ bỏ tiện ích 'Save Image as Type' khỏi Chrome Web Store, trong khi Microsoft Edge đã hành động từ đầu năm 2025.
Vào đầu tháng 3/2026, Google chính thức vô hiệu hóa extension 'Save Image as Type' trên Chrome và gỡ nó khỏi Chrome Web Store, kèm theo thông báo cảnh báo người dùng rằng extension chứa mã độc và không an toàn. Đây là một công cụ dùng để chuyển đổi ảnh WebP sang PNG/JPG, từng có hơn 1 triệu lượt cài đặt, đạt 1.700 đánh giá và 4,2 sao, là một trong những extension phổ biến nhất trong danh mục xử lý ảnh trên Chrome.
Theo phân tích từ XDA, tiện ích này chứa một file mã độc có tên inject.js, hoạt động theo cơ chế 'cookie stuffing' – tức là chèn cookie theo dõi liên kết tiếp thị vào trình duyệt của người dùng thông qua các iframe ẩn. Mỗi khi người dùng truy cập các trang mua sắm như Amazon, Best Buy hay hơn 578 website khác, extension âm thầm thay thế mã affiliate gốc bằng mã của nhóm tấn công, từ đó ăn cắp hoa hồng từ các affiliate hợp pháp. Tất cả URL affiliate đều chuyển hướng tới một dịch vụ tên Karmanow.
Điều đáng chú ý là mã độc được thiết kế để tránh bị phát hiện. Extension chỉ kích hoạt payload sau khi người dùng đã lưu ít nhất 10 ảnh, các iframe ẩn chỉ tồn tại trong 8,5 giây rồi tự xóa, và toàn bộ cơ chế này không hoạt động trên các trang dành cho nhà phát triển – nơi dễ dàng bị kiểm tra nhất.
Về nguồn gốc, 'Save Image as Type' ban đầu là một extension sạch được phát triển bởi một lập trình viên Trung Quốc tên cuixiping. Phiên bản 1.2.3 phát hành vào tháng 5/2023 hoàn toàn an toàn – background script chỉ nặng 5,9 KB, không có content script hay quyền truy cập vào nội dung trang web. Tuy nhiên, đến phiên bản 1.4.6 vào cuối năm 2024, extension bắt đầu chứa file inject.js nặng 428 KB, được nhúng vào mọi trang HTTP và HTTPS mà người dùng truy cập.
Vào tháng 11/2025, repository GitHub gốc của extension đã bị xóa, và quyền sở hữu trên Chrome Web Store đã được chuyển sang tài khoản 'laurenbridgecool' kèm theo bản cập nhật chứa mã độc. Đây là chiến thuật phổ biến trong giới malware: mua lại các extension đã có lượng người dùng lớn, rồi cập nhật mã độc mà người dùng không hề hay biết.
Wladimir Palant, nhà nghiên cứu bảo mật, đã công khai tài liệu về mạng lưới này từ tháng 10/2024, chỉ ra rằng 12 extension bị xâm nhập có liên kết với công ty Israel Karma Shopping Ltd. Microsoft Edge đã loại bỏ phiên bản extension này khỏi kho tiện ích mở rộng ngay từ tháng 2/2025 vì phát hiện malware. Tuy nhiên, Google vẫn giữ 'Save Image as Type' trên Chrome Web Store, thậm chí còn gắn badge 'Featured', cho đến tận tháng 3/2026. Hơn 1 triệu người dùng Chrome bị nhiễm mã độc trong nhiều tháng khi Google không có hành động gì.
Hành vi của extension này gợi lại vụ bê bối của Honey – tiện ích coupon của PayPal bị lộ vào năm 2024 vì cũng lợi dụng affiliate link của người dùng và các nhà sáng tạo nội dung.
Những người dùng đã cài đặt 'Save Image as Type' nên gỡ bỏ extension ngay lập tức. Các lựa chọn thay thế an toàn bao gồm Save Image As PNG, Save Image As JPG/PNG/WebP, và Save Image Converter – những tiện ích hiện chưa phát hiện vấn đề bảo mật tương tự.
