Google heeft de Chrome-extensie “Save Image as Type” verwijderd nadat beveiligingsonderzoekers ontdekten dat deze was gekaapt en aangepast om gebruikersverkeer om te leiden voor affiliate fraude. De extensie had meer dan een miljoen gebruikers toen deze werd verwijderd.
De compromittering werd uitgevoerd door een groep genaamd Karma, die de extensie naar verluidt ergens tussen 13 en 29 november 2025 heeft overgenomen van de oorspronkelijke ontwikkelaar, volgens XDA Developers. Tegen het einde van november was er nieuwe code toegevoegd om aankopen via webwinkels zoals Amazon, Adidas en Shein te onderscheppen, waardoor de aanvallers affiliate commissies konden verdienen op transacties van getroffen gebruikers.
Wat de kwaadaardige code van de Chrome-extensie deed
De geïnjecteerde code leidde gebruikersverkeer heimelijk op de achtergrond om, zonder duidelijke signalen in de browser. Dit betekende dat gebruikers die op ondersteunde webwinkels browseden en aankopen deden, hun sessies werden aangepast zodat Karma’s affiliate accounts werden gecrediteerd.
Ondanks deze kwaadaardige activiteit bleef de extensie normaal functioneren als hulpmiddel voor het converteren van afbeeldingen, waardoor het moeilijk te detecteren was. Google verwijderde de extensie begin maart 2026, maar de schadelijke versie was waarschijnlijk al enkele weken actief voordat deze werd verwijderd.
Wie er achter de hack van de Chrome-extensie “Save Image as Type” zit
Beveiligingsonderzoeker Wladimir Palant analyseerde de activiteiten van Karma eind 2024 en begin 2025 en koppelde de groep aan vele Chrome-extensies met vergelijkbare kwaadaardige payloads. In plaats van nieuwe schadelijke extensies vanaf nul te ontwikkelen, koopt Karma vaak bestaande, vertrouwde extensies van de oorspronkelijke ontwikkelaars en voegt na de overname kwaadaardige code toe.
In 2025 werd een andere extensie voor beeldconversie verwijderd uit Microsoft Edge nadat deze als malware was aangemerkt. Volgens XDA kwam deze van een andere ontwikkelaar en bevatte deze niet dezelfde kwaadaardige code.
Wat getroffen Chrome gebruikers moeten doen na de kaping van “Save Image as Type”
Als je de extensie “Save Image as Type” sinds november 2025 geïnstalleerd hebt gehad, wordt aanbevolen deze onmiddellijk te verwijderen, tenzij Google deze al voor je heeft uitgeschakeld. XDA Developers heeft instructies gedeeld om te controleren of de gecompromitteerde extensie sporen op je systeem heeft achtergelaten.
Google heeft niet bevestigd hoeveel gebruikers daadwerkelijk zijn getroffen tijdens de weken dat de kwaadaardige extensie actief was.