Više od milijun korisnika u riziku: popularna Chrome ekstenzija za slike sadržavala zlonamjerni kod

Sigurnosni propust velikih razmjera pogodio je korisnike Google Chrome preglednika, nakon što je otkriveno da popularna ekstenzija “Save Image As Type” (Spremi sliku kao tip) sadrži zlonamjerni kod. Google je početkom ožujka 2026. službeno uklonio proširenje iz Chrome Web Storea i onemogućio ga, no tek nakon što je više od milijun korisnika već bilo izloženo riziku.

Riječ je o alatu za konverziju slika (WebP u JPG/PNG) koji je godinama uživao visoko povjerenje korisnika. Međutim, analiza portala XDA Developers otkrila je da novije verzije sadrže skriptu inject.js koja koristi tehniku poznatu kao “cookie stuffing”.

U praksi, to znači da ekstenzija potajno ubacuje affiliate kolačiće prilikom posjeta web trgovinama poput Amazon ili Best Buy, preusmjeravajući provizije s legitimnih partnera na treće strane. Sustav je dizajniran tako da izbjegne detekciju – aktivira se tek nakon određenog broja korištenja i radi kroz kratkotrajne, skrivene iframeove. Dodatno zabrinjava način na koji je zlonamjerni kod uveden. Izvorno legitimna ekstenzija preuzeta je od novog vlasnika, nakon čega su kroz ažuriranja postupno dodane sumnjive funkcionalnosti – taktika koja je sve češća u svijetu browser ekstenzija.

Sigurnosni istraživač Wladimir Palant povezao je ovaj slučaj s mrežom kompromitiranih dodataka i tvrtkom Karma Shopping Ltd., dok je Microsoft Edge reagirao znatno ranije i uklonio ekstenziju još tijekom 2025. godine. Cijeli slučaj podsjeća na aferu s PayPal-ovim dodatkom Honey, koji je također bio optužen za manipulaciju affiliate linkovima.

Što učiniti?

Ako ste koristili ovu ekstenziju, preporuka je jasna: odmah je uklonite iz preglednika, provjerite ostale instalirane ekstenzije i očistite kolačiće i podatke pregledavanja.

Ovaj incident još jednom naglašava važnu lekciju: čak i popularne i visoko ocijenjene ekstenzije mogu postati sigurnosni rizik – osobito nakon promjene vlasništva ili ažuriranja bez jasne transparentnosti.