एक मिलियन से अधिक उपयोगकर्ताओं के साथ एक लोकप्रिय क्रोम छवि प्रारूप रूपांतरण एक्सटेंशन "सेव इमेज एज़ टाइप" हाल ही में हैकर्स द्वारा कब्जा कर लिया गया था और दुर्भावनापूर्ण कोड प्रत्यारोपित किया गया था। सुरक्षा शोधकर्ताओं ने संबंधित उपयोगकर्ताओं से एक्सटेंशन को तुरंत अनइंस्टॉल करने का आह्वान किया। Google ने इसे इस महीने की शुरुआत में हटा दिया था, लेकिन इससे पहले, टूल संभवतः कई हफ्तों से हजारों उपयोगकर्ताओं के ब्राउज़र व्यवहार के साथ चुपचाप छेड़छाड़ कर रहा था। जांच से पता चला कि हमले के पीछे का समूह दर्जनों अपहृत क्रोम और एज एक्सटेंशन से भी जुड़ा था।

इस पृष्ठभूमि में कि ब्राउज़र एक्सटेंशन लंबे समय से हमलावरों के लिए एक लोकप्रिय लक्ष्य रहे हैं, यह घटना एक बार फिर एक्सटेंशन पारिस्थितिकी तंत्र के सुरक्षा जोखिमों को उजागर करती है। हालाँकि प्रमुख ब्राउज़र निर्माता नियमित रूप से उन एक्सटेंशनों को साफ करते हैं जो विज्ञापन अवरुद्ध करने, वीडियो डाउनलोड करने या मुफ्त वीपीएन होने का दिखावा करते हैं, लेकिन वास्तव में उनमें दुर्भावनापूर्ण कोड होता है, फिर भी समय पर सभी समस्याओं का पता लगाना मुश्किल होता है। "छवि को प्रकार के रूप में सहेजें" के मामले में, हमलावर ने एक प्रकार के फ़ंक्शन को लक्षित किया जो वेबपी जैसे नई पीढ़ी के छवि प्रारूपों की लोकप्रियता के साथ तेजी से आम हो गया है: स्थानीय उपयोग के लिए वेब पेज छवियों का एक-क्लिक रूपांतरण अधिक सामान्य प्रारूप में।

वर्तमान में, लोडिंग को तेज़ करने और बैंडविड्थ को बचाने के लिए, अधिकांश वेबसाइटों ने वेबपी और एवीआईएफ जैसे आधुनिक छवि प्रारूपों को व्यापक रूप से अपनाया है। इन प्रारूपों में छवि गुणवत्ता को JPEG और PNG के करीब बनाए रखते हुए छोटे फ़ाइल आकार होते हैं। हालाँकि, WebP में अभी भी ब्राउज़र के बाहर आमतौर पर उपयोग किए जाने वाले कई अनुप्रयोगों में पूर्ण समर्थन का अभाव है, जिससे उपयोगकर्ताओं को स्थानीय रूप से ऐसी छवियों को संसाधित करते समय अक्सर संगतता समस्याओं का सामना करना पड़ता है। इस बाधा को दूर करने के लिए, कई लोग छवियों को स्वचालित रूप से पारंपरिक प्रारूपों में परिवर्तित करने के लिए ब्राउज़र एक्सटेंशन इंस्टॉल करेंगे, जो हमलावरों के लिए एक प्रवेश बिंदु भी प्रदान करता है।

शुरुआत से किसी अपरिचित दुर्भावनापूर्ण एक्सटेंशन को विकसित करने के बजाय, हमलावर तेजी से मौजूदा एक्सटेंशनों पर कब्ज़ा कर रहे हैं जिनके पास पहले से ही उपयोगकर्ता के विश्वास का एक स्थापित आधार है। कुछ समूह खामियों के माध्यम से डेवलपर खातों पर आक्रमण करते हैं, लेकिन इस बार समूह "कर्मा" जो "छवि को प्रकार के रूप में सहेजें" में हेरफेर करता है, ने एक सरल और अधिक प्रत्यक्ष दृष्टिकोण अपनाया है - मूल लेखक से सीधे एक्सटेंशन प्राप्त करना। XDA डेवलपर्स के विश्लेषण के अनुसार, एक्सटेंशन ने पिछले साल 13 से 29 नवंबर के बीच मालिकों को बदल दिया था, और अमेज़ॅन, एडिडास, शीन और अन्य खुदरा विक्रेताओं पर खरीदारी के व्यवहार से संबद्ध कमीशन "कमाने" के लिए उपयोगकर्ता ट्रैफ़िक को पुनर्निर्देशित करने के लिए उस महीने के अंत में नया कोड लगाया गया था।

सुरक्षा शोधकर्ता व्लादिमीर पलांट ने 2024 के अंत और 2025 की शुरुआत में कर्मा की गतिविधियों का दस्तावेजीकरण और विश्लेषण किया और पाया कि समूह समान दुर्भावनापूर्ण पेलोड ले जाने वाले कई क्रोम एक्सटेंशन से जुड़ा था। Microsoft ने 2025 में एज स्टोर से एक छवि रूपांतरण एक्सटेंशन हटा दिया और इसे मैलवेयर के रूप में चिह्नित किया। हालाँकि, XDA के अनुसार, यह एक्सटेंशन एक अलग डेवलपर से आया था, और कर्मा के साथ कोई सीधा कोड कनेक्शन नहीं पाया गया था।

जो उपयोगकर्ता चिंतित हैं कि वे प्रभावित हो सकते हैं, सुरक्षा विशेषज्ञ सेव इमेज को टाइप के रूप में तुरंत अनइंस्टॉल करने और इसे अन्य विश्वसनीय विकल्पों के साथ बदलने की सलाह देते हैं। XDA ने उपयोगकर्ताओं को यह पुष्टि करने में मदद करने के लिए पता लगाने के तरीके भी जारी किए कि समझौता किए गए एक्सटेंशन ने सिस्टम पर अवशिष्ट निशान छोड़े हैं या नहीं। इस वास्तविकता में कि ब्राउज़र एक्सटेंशन बार-बार हमलों के लिए एक स्प्रिंगबोर्ड बन गए हैं, उपयोगकर्ताओं को लंबे समय तक एक्सटेंशन चुनते और बनाए रखते समय अधिक सतर्क रहने की आवश्यकता हो सकती है, और समय पर एक्सटेंशन स्वामित्व और अनुमति परिवर्तन जैसे असामान्य संकेतों पर ध्यान देना चाहिए।