Kürzlich wurde bekannt, dass eine beliebte Chrome-Bildformat-Konvertierungserweiterung „Save Image as Type“ mit mehr als einer Million Nutzern von Hackern übernommen und Schadcode implantiert wurde. Sicherheitsforscher forderten relevante Benutzer auf, die Erweiterung sofort zu deinstallieren. Google hat es Anfang dieses Monats entfernt, aber zuvor hat das Tool wahrscheinlich wochenlang stillschweigend das Browserverhalten von Zehntausenden Nutzern manipuliert. Untersuchungen ergaben, dass die Gruppe hinter dem Angriff auch mit Dutzenden gekaperten Chrome- und Edge-Erweiterungen in Verbindung steht.
Vor dem Hintergrund, dass Browser-Erweiterungen seit langem ein beliebtes Ziel für Angreifer sind, verdeutlicht dieser Vorfall einmal mehr die Sicherheitsrisiken des Erweiterungs-Ökosystems. Obwohl große Browserhersteller regelmäßig Erweiterungen bereinigen, die sich als Werbeblocker, Video-Downloader oder kostenloses VPN ausgeben, in Wirklichkeit aber bösartigen Code enthalten, ist es immer noch schwierig, alle Probleme rechtzeitig zu erkennen. Im Fall von „Bild als Typ speichern“ zielte der Angreifer auf eine Funktion ab, die mit der Beliebtheit von Bildformaten der neuen Generation wie WebP immer häufiger vorkommt: die Ein-Klick-Konvertierung von Webseitenbildern in ein gängigeres Format für die lokale Verwendung.
Um das Laden zu beschleunigen und Bandbreite zu sparen, haben die meisten Websites derzeit weitgehend moderne Bildformate wie WebP und AVIF übernommen. Diese Formate haben kleinere Dateigrößen und bieten gleichzeitig eine Bildqualität, die der von JPEG und PNG nahe kommt. Allerdings fehlt WebP in vielen häufig verwendeten Anwendungen außerhalb von Browsern immer noch die vollständige Unterstützung, was dazu führt, dass Benutzer bei der lokalen Verarbeitung solcher Bilder häufig auf Kompatibilitätsprobleme stoßen. Um dieses Hindernis zu umgehen, installieren viele Menschen Browsererweiterungen, um Bilder automatisch in herkömmliche Formate zu konvertieren, was auch einen Einstiegspunkt für Angreifer darstellt.
Anstatt eine unbekannte bösartige Erweiterung von Grund auf zu entwickeln, übernehmen Angreifer zunehmend vorhandene Erweiterungen, die bereits über eine etablierte Vertrauensbasis der Benutzer verfügen. Einige Gruppen dringen über Schlupflöcher in Entwicklerkonten ein, aber dieses Mal scheint die Gruppe „Karma“, die „Bildtyp speichern“ manipuliert, einen einfacheren und direkteren Ansatz gewählt zu haben – sie hat die Erweiterung direkt vom ursprünglichen Autor erworben. Einer Analyse von XDA Developers zufolge wechselte die Erweiterung zwischen dem 13. und 29. November letzten Jahres den Besitzer, und am Ende des Monats wurde ein neuer Code implantiert, um den Benutzerverkehr umzuleiten, um Affiliate-Provisionen aus dem Einkaufsverhalten bei Amazon, Adidas, Shein und anderen Einzelhändlern zu „verdienen“.
Der Sicherheitsforscher Wladimir Palant dokumentierte und analysierte die Aktivitäten von Karma Ende 2024 und Anfang 2025 und stellte fest, dass die Gruppe mit mehreren Chrome-Erweiterungen in Verbindung stand, die ähnliche bösartige Payloads trugen. Microsoft hat im Jahr 2025 eine Bildkonvertierungserweiterung aus dem Edge Store entfernt und sie als Malware markiert. Laut XDA stammte diese Erweiterung jedoch von einem anderen Entwickler und es wurde keine direkte Codeverbindung mit Karma gefunden.
Für Benutzer, die befürchten, betroffen zu sein, empfehlen Sicherheitsexperten, Save Image as Type sofort zu deinstallieren und durch andere zuverlässige Alternativen zu ersetzen. XDA hat außerdem Erkennungsmethoden veröffentlicht, mit denen Benutzer feststellen können, ob die kompromittierte Erweiterung Restspuren auf dem System hinterlassen hat. Angesichts der Tatsache, dass Browsererweiterungen immer wieder zu einem Sprungbrett für Angriffe geworden sind, müssen Benutzer bei der Auswahl und Beibehaltung von Erweiterungen über einen längeren Zeitraum möglicherweise vorsichtiger sein und auf ungewöhnliche Signale wie Erweiterungseigentum und Berechtigungsänderungen rechtzeitig achten.