Uma popular extensão de conversão de formato de imagem do Chrome, “Salvar imagem como tipo”, com mais de um milhão de usuários, foi recentemente revelada como tendo sido assumida por hackers e código malicioso foi implantado. Os pesquisadores de segurança pediram aos usuários relevantes que desinstalassem a extensão imediatamente. O Google o removeu no início deste mês, mas antes disso, a ferramenta provavelmente alterou silenciosamente o comportamento do navegador de dezenas de milhares de usuários durante semanas. As investigações revelaram que o grupo por trás do ataque também estava ligado a dezenas de extensões sequestradas do Chrome e Edge.
Tendo como pano de fundo que as extensões de navegador são há muito tempo um alvo popular para invasores, este incidente destaca mais uma vez os riscos de segurança do ecossistema de extensões. Embora os principais fabricantes de navegadores limpem regularmente extensões que fingem bloquear anúncios, download de vídeos ou VPN grátis, mas na verdade contêm código malicioso, ainda é difícil detectar todos os problemas a tempo. No caso de “Salvar imagem como tipo”, o invasor mirou um tipo de função que se tornou cada vez mais comum com a popularidade dos formatos de imagem de nova geração, como o WebP: conversão com um clique de imagens de páginas da web em um formato mais comum para uso local.
Atualmente, para acelerar o carregamento e economizar largura de banda, a maioria dos sites adotou amplamente formatos de imagem modernos, como WebP e AVIF. Esses formatos têm tamanhos de arquivo menores, mantendo uma qualidade de imagem próxima à de JPEG e PNG. No entanto, o WebP ainda carece de suporte completo em muitos aplicativos comumente usados fora dos navegadores, fazendo com que os usuários frequentemente encontrem problemas de compatibilidade ao processar essas imagens localmente. Para contornar esse obstáculo, muitas pessoas instalam extensões de navegador para converter automaticamente imagens em formatos tradicionais, o que também fornece um ponto de entrada para invasores.
Em vez de desenvolver uma extensão maliciosa desconhecida do zero, os invasores estão cada vez mais assumindo o controle de extensões existentes que já possuem uma base estabelecida de confiança do usuário. Alguns grupos invadem contas de desenvolvedores por meio de brechas, mas desta vez o grupo “Karma” que manipula “Salvar imagem como tipo” parece ter adotado uma abordagem mais simples e direta – adquirindo a extensão diretamente do autor original. De acordo com a análise do XDA Developers, a extensão mudou de proprietário entre 13 e 29 de novembro do ano passado, e um novo código foi implantado no final daquele mês para redirecionar o tráfego do usuário para “ganhar” comissões de afiliados pelo comportamento de compra na Amazon, Adidas, Shein e outros varejistas.
O pesquisador de segurança Wladimir Palant documentou e analisou as atividades do Karma no final de 2024 e início de 2025 e descobriu que o grupo estava associado a várias extensões do Chrome que transportavam cargas maliciosas semelhantes. A Microsoft removeu uma extensão de conversão de imagem da loja Edge em 2025 e a marcou como malware. No entanto, de acordo com o XDA, esta extensão veio de um desenvolvedor diferente e nenhuma conexão direta de código com o Karma foi encontrada.
Para usuários preocupados com a possibilidade de serem afetados, os especialistas em segurança recomendam desinstalar imediatamente Salvar imagem como tipo e substituí-lo por outras alternativas confiáveis. O XDA também lançou métodos de detecção para ajudar os usuários a confirmar se a extensão comprometida deixou rastros residuais no sistema. Na realidade, as extensões do navegador têm se tornado repetidamente um trampolim para ataques, os usuários podem precisar ser mais cautelosos ao selecionar e reter extensões por um longo período e prestar atenção a sinais anormais, como propriedade de extensões e alterações de permissão em tempo hábil.