那个叫“Save Image as Type”的插件居然藏着恶意代码,大家得赶紧把它给卸了。经常要干活或者网上溜达的朋友肯定都遇到过这档子事儿:好不容易看到张有用的图想存下来,结果发现是WebP格式,自己用的软件、播放器压根不认识这种格式。按老法子只能手动转格式,得先打开系统里那个“画图”软件,把图片导进去,再去点“另存为”,然后还要手动挑.jpg或者.png这种通用格式。这一套操作下来太费工夫了,要是频繁用更是拖慢效率。 为了解决这个大麻烦,后来就有各种第三方的格式转换工具冒出来了。这类工具最大的好处就是简单好用,你只要在图片上点右键,选个常见的格式就能一键下载下来,完全不用自己去折腾转换。这插件里有个叫“Save Image as Type”的,界面看着清爽,功能也稳当,之前在圈子里口碑可好了。看到这儿,可能有些朋友还以为我是要推荐这个软件呢,但其实我是来报个警的。 事情是这样的:好几家权威的安全媒体还有专门研究网络安全的人都坐不住了,他们说了“Save Image as Type”已经被人动了手脚,变成了个坏东西。这个插件倒也不直接去偷你的隐私或者账号密码,它想的是搞钱。具体的套路是这样的:它会把你要去的购物网站链接给偷偷换掉,替换成那个坏家伙的专属链接。这样一来你在那上面花钱买东西产生的佣金本来该是给那些发帖子的博主或者内容创作者的,现在全被这个插件的开发者给截胡了。 安全人员查出来这个插件在2024年11月13日到11月29日这几天经历了一次不合法的易主,这就是它变坏的关键点。新老板接手没多久,就在2024年11月底推了个新版本,把恶意代码悄悄塞了进去。这种坏事干得很隐蔽,它会在浏览器后台偷偷加载个看不见的iframe框架来搞破坏。 它能偷偷改的网站可不少了,像亚马逊、阿迪达斯、Shein还有百思买(Best Buy)这些大家都爱逛的主流平台都在列。它把你要去的原始链接换成了带攻击方代码的版本,这样你买东西的时候本来该属于你的钱就都进了坏人的腰包。更吓人的是这插件藏得太深了,它已经在你电脑上偷偷跑了一年多了。 高峰的时候用的人都超过百万了。你想想看,这么多人的浏览数据可能都被它无声无息地篡改过了,造成的经济损失肯定不小。面对这伙人搞出来的恶意插件,主流浏览器的厂家也没坐视不管:Google Chrome那边决定在2026年3月(就是这个月)把这插件从Chrome网上应用店彻底删掉了;Microsoft Edge更早一步在2025年2月就把Edge版本给下架了。 如果你现在还在用Chrome的话就得小心了:先把地址栏里输入chrome://extensions/这个地址回车进到扩展管理界面;在列表里找到那个“Save Image as Type”,点删除按钮把它给彻底删掉;还要顺手把浏览器里那些购物网站的Cookie清理掉;最好也去查查你之前装过的其他扩展是不是也有类似的问题;最后换个靠谱的替代品吧。 可以去GitHub上找找能看到源码的工具(比如开源的WebP转换扩展),或者像Imageye、Save Image As这种大家都用了很久、口碑不错的正规工具。虽然插件确实能让我们用电脑变得更顺手了点,但是所有权一变、账号被收购或者劫持现在是坏代码进来的最主要路子。这种“披着羊皮的狼”最难防了。 想保护好自己其实不难:没事多看看自己装了啥扩展、把没用的都卸了、优先挑那些一直在维护的开源项目来用就好。千万不要为了图个方便就不管安全了。我也会及时把最新的消息分享给大家的。