Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreigcsxifg32m7da6y2phywetwmjrz37mjc4e4g3h4twndrcmgs3izm",
    "uri": "at://did:plc:lcqnmkieaiknpxjwvmcefo6g/app.bsky.feed.post/3mhd3sqhxi362"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreifsmdqx2krjijgv3vlmjtoq5ghbp2cvlvtq5yhvavasjv6wgouq4q"
    },
    "mimeType": "image/jpeg",
    "size": 33487
  },
  "path": "/article/3091794/in-einem-beliebten-chrome-erweiterung-wurde-schadcode-entdeckt.html",
  "publishedAt": "2026-03-18T07:46:36.000Z",
  "site": "https://www.pcwelt.de",
  "tags": [
    "Online Services, Security Software and Services",
    "XDA"
  ],
  "textContent": "Google hat jetzt die Chrome-Erweiterung „Save image as Type“ entfernt, nachdem bekannt wurde, dass sie Schadcode enthielt. Das berichtet XDA. Die Erweiterung, die über eine Million Nutzer hatte, ermöglichte es, Bilder aus dem Internet im JPG- oder PNG-Format zu speichern, selbst wenn Websites dies normalerweise blockierten.\n\n„Save image as Type“ enthielt jedoch Code, der die von den Nutzern besuchten Webadressen sammelte und an einen Server übermittelte. Anschließend fügte das Add-on eigene Affiliate-Links auf über 570 Websites ein, wodurch die Entwickler Provisionen von Käufen stehlen konnten, die eigentlich an andere Links hätten gehen sollen.\n\nDas Add-on scheint im August 2024 den Besitzer gewechselt zu haben, woraufhin der verdächtige Code eingeführt wurde. XDA schreibt: “Das Schlimmste daran? Sicherheitsforscher hatten das dahinterstehende Netzwerk bereits im Oktober 2024 öffentlich dokumentiert, und Microsoft hatte die Edge-Version im Februar 2025 entfernt und erklärt, es handele sich um ‘Malware’“’. Google hingegen entfernte die Erweiterung erst jetzt im März 2026 – Monate, nachdem sie bereits auf über einer Million Browsern schädlichen Code ausgeführt hatte”.\n\nDie Erweiterung sollte damit nicht mehr funktionieren. Sie sollten die Erweiterung außerdem deinstallieren. Damit sollte das Problem gelöst sein.\n\nXDA stellt die verhängnisvolle Entwicklung dieser Chrome-Erweiterung folgendermaßen dar:\n\n> Ich habe mir mehrere Versionen von „Save Image as Type“ aus den letzten Jahren besorgt, um herauszufinden, wann der Schadcode eingebaut wurde. Die Version 1.2.3 vom Mai 2023 ist völlig sauber. Es gibt kein Content-Skript, keine Injektion in Webseiten und keine Speicherberechtigung. Es handelt sich um eine einfache Erweiterung, die das Kontextmenü von Chrome und ein Offscreen-Dokument nutzt, um Bilder zu konvertieren und herunterzuladen. Das Hintergrundskript ist nur 5,9 KB groß.\n>\n> Bis zur Version 1.4.6 Ende 2024 war die Erweiterung gewachsen. Ein neues, 428 KB großes Content-Skript namens „inject.js“ tauchte auf, das in jede von Ihnen besuchte HTTP- und HTTPS-Seite eingebunden wurde. Es fügte eine Speicherberechtigung hinzu und führte zwei Schlüsselkomponenten ein: ein Iframe-Element, das intern als „SIAT_WORKER_FRAME“ identifiziert wurde, und einen „localStorage“-Drosselungsschlüssel namens „ldcsv“. In dieser Version waren diese Komponenten jedoch legitim. Der Iframe lud die eigene Seite „offscreen.html“ der Erweiterung zur Bildkonvertierung, und der Schlüssel „ldcsv“ war eine 24-stündige Abklingzeit, um zu verhindern, dass der Iframe zu oft erstellt wurde.\n>\n> Dann kam Version 1.7.2. Die Datei „inject.js“ war auf 1,09 MB angewachsen, und dieselben beiden Komponenten – der Iframe „SIAT_WORKER_FRAME“ und der „ldcsv“-Throttle – wurden für einen völlig anderen Zweck umfunktioniert. Der Iframe lud nun keine interne Seite zur Bildkonvertierung mehr. Stattdessen lud er URLs, die von einem Remote-Server bereitgestellt wurden und für den Nutzer völlig unsichtbar waren.\n>\n> Zwischen diesen beiden Versionen hatte der Entwickler die bereits vorhandene Infrastruktur der Erweiterung geschickt für seine Zwecke missbraucht, sodass die Änderungen in einem Code-Vergleich weniger verdächtig wirkten, als wenn er völlig neue Funktionen hinzugefügt hätte. Bei genauerer Betrachtung der Unterschiede zwischen den beiden Versionen wird jedoch deutlich, wie der vorhandene Code für böswillige Zwecke ausgenutzt wurde.",
  "title": "Alarm: In dieser beliebten Chrome-Erweiterung versteckt sich Schadcode"
}