Chrome圖片下載擴充功能「藏惡意程式碼」　Google已下架

Google Chrome免費擴充功能「Save Image as Type」能夠突破網站限制，只要在網頁上對任何圖片按右鍵，即可迅速下載檔案，吸引超過百萬人使用，還曾被Google標上「精選」標籤。然而，Google近期發現該工具暗藏惡意程式碼，恐引發資安風險，目前已強制停用並下架，也提醒用戶盡快移除。

綜合外媒報導，用戶在安裝「Save Image as Type」過後，就可以下載網頁上任何圖片，還能直接選擇PNG、JPG等格式儲存，過去累積逾100萬名使用者，平均評分高達4.2。

不過，Google日前發現，該擴充功能內含名為「inject.js」的惡意程式碼，會私下記錄用戶瀏覽的網站，並在用戶網購時，將原本的商品連結替換為帶有分潤機制的連結，從而改變購物佣金流向。此類手法屬於「Cookie Stuffing」（Cookie填充），是一種常見的行銷詐欺手法，受影響網站超過500個。

該惡意程式碼還設計了特定觸發條件，用戶需先下載一定數量圖片，且在圖片數量達一定門檻的頁面上才會運作，疑似是為了避免被抓包。

報導指出，微軟早在2024年底就已將其自Edge瀏覽器移除。另外，該擴充功能的所有權疑似於2024年8月出現轉變，開發者的電子郵件從Image4Tools改為Lauren Bridge，有專家推測異常行為可能與易主一事有關。