تم الكشف مؤخرًا عن امتداد تحويل تنسيق صور Chrome الشهير "حفظ الصورة كنوع" مع أكثر من مليون مستخدم، وقد تم الاستيلاء عليه من قبل المتسللين وتم زرع تعليمات برمجية ضارة. ودعا الباحثون الأمنيون المستخدمين المعنيين إلى إلغاء تثبيت الامتداد على الفور. قامت جوجل بإزالتها في وقت سابق من هذا الشهر، ولكن قبل ذلك، من المحتمل أن الأداة كانت تتلاعب بصمت بسلوك المتصفح لعشرات الآلاف من المستخدمين لأسابيع. وكشفت التحقيقات أن المجموعة التي تقف وراء الهجوم كانت مرتبطة أيضًا بالعشرات من ملحقات Chrome وEdge المختطفة.

في ظل الخلفية التي طالما كانت ملحقات المتصفح هدفًا شائعًا للمهاجمين، فإن هذا الحادث يسلط الضوء مرة أخرى على المخاطر الأمنية للنظام البيئي للامتدادات. على الرغم من أن الشركات المصنعة الكبرى للمتصفحات تقوم بانتظام بتنظيف الإضافات التي تتظاهر بأنها تحظر الإعلانات أو تنزيل الفيديو أو VPN مجانية، ولكنها تحتوي في الواقع على تعليمات برمجية ضارة، إلا أنه لا يزال من الصعب اكتشاف جميع المشكلات في الوقت المناسب. في حالة "حفظ الصورة كنوع"، استهدف المهاجم نوعًا من الوظائف التي أصبحت شائعة بشكل متزايد مع شعبية تنسيقات صور الجيل الجديد مثل WebP: تحويل صور صفحة الويب إلى تنسيق أكثر شيوعًا للاستخدام المحلي بنقرة واحدة.

في الوقت الحالي، من أجل تسريع التحميل وحفظ النطاق الترددي، اعتمدت معظم مواقع الويب على نطاق واسع تنسيقات الصور الحديثة مثل WebP وAVIF. تحتوي هذه التنسيقات على أحجام ملفات أصغر مع الحفاظ على جودة الصورة قريبة من جودة JPEG وPNG. ومع ذلك، لا يزال WebP يفتقر إلى الدعم الكامل في العديد من التطبيقات الشائعة الاستخدام خارج المتصفحات، مما يتسبب في مواجهة المستخدمين غالبًا لمشكلات التوافق عند معالجة مثل هذه الصور محليًا. ومن أجل تجاوز هذه العقبة، يقوم العديد من الأشخاص بتثبيت ملحقات المتصفح لتحويل الصور تلقائيًا إلى تنسيقات تقليدية، مما يوفر أيضًا نقطة دخول للمهاجمين.

بدلاً من تطوير امتداد ضار غير مألوف من الصفر، يتولى المهاجمون بشكل متزايد السيطرة على الملحقات الموجودة التي تتمتع بالفعل بقاعدة راسخة من ثقة المستخدم. تقوم بعض المجموعات بغزو حسابات المطورين من خلال ثغرات، ولكن هذه المرة يبدو أن مجموعة "Karma" التي تتعامل مع "حفظ الصورة كنوع" قد تبنت أسلوبًا أبسط وأكثر مباشرة - حيث حصلت على الامتداد مباشرة من المؤلف الأصلي. وفقًا لتحليل XDA Developers، غيّر الامتداد مالكيه بين 13 و29 نوفمبر من العام الماضي، وتم زرع كود جديد في نهاية ذلك الشهر لإعادة توجيه حركة مرور المستخدم "لكسب" العمولات التابعة من سلوك التسوق في Amazon وAdidas وShein وتجار التجزئة الآخرين.

قام الباحث الأمني ​​فلاديمير بالانت بتوثيق وتحليل أنشطة Karma في أواخر عام 2024 وأوائل عام 2025، ووجد أن المجموعة مرتبطة بامتدادات Chrome المتعددة التي تحمل حمولات ضارة مماثلة. قامت Microsoft بإزالة ملحق تحويل الصور من متجر Edge في عام 2025 ووضعت عليه علامة على أنه برنامج ضار. ومع ذلك، وفقًا لـ XDA، جاء هذا الامتداد من مطور مختلف، ولم يتم العثور على اتصال مباشر بالكود مع Karma.

بالنسبة للمستخدمين الذين يشعرون بالقلق من احتمال تأثرهم، يوصي خبراء الأمان بإلغاء تثبيت Save Image as Type على الفور واستبداله ببدائل أخرى موثوقة. أصدرت XDA أيضًا طرق اكتشاف لمساعدة المستخدمين على تأكيد ما إذا كان الامتداد المخترق قد ترك آثارًا متبقية على النظام. في الواقع، أصبحت ملحقات المتصفح بشكل متكرر نقطة انطلاق للهجمات، قد يحتاج المستخدمون إلى توخي المزيد من الحذر عند اختيار الملحقات والاحتفاظ بها لفترة طويلة، والانتباه إلى الإشارات غير الطبيعية مثل ملكية الملحقات وتغييرات الأذونات في الوقت المناسب.