Chrome用户留心，你先用的浏览器扩展可能被植入恶意代码，近期，外媒报道恶意软件厂商已经收买了部分流行的Chrome扩展，并在扩展中植入恶意代码、广告甚至是恶意软件，而使用这些扩展的用户将直接受影响。

据ArsTechnica报道，这项危险主要源于谷歌Chrome的静默升级机制，因此无论浏览器还是扩展都会默认自动静默更新，例如扩展开发者或者开发厂商被更换，用户也无法知晓。

如果恶意厂商突然决定在浏览器扩展中加入恶意代码升级，那么，用户就在不知情的情况下，自动将浏览器以及扩展更新到最新版。

更严重的是，该安全问题已经发生，部分广告商已经开始收买知名扩展，并在后者的静默升级中加入了恶意代码，最终入侵到浏览器。

这次入侵实验已经由Add to Feedly扩展的开发者试验成功，一名神秘买家联系他，提供总计四位数的金额，收购他开发的扩展作品的所有权，当作者查看新买主提供的扩展服务后，发现这些扩展升级后被加入了广告代码，最终将有三万多的扩展用户群体受其潜在危害。

这项受感染的扩展数目以及受影响的用户数量也在逐渐增加，而对于普通用户来说，很难发现和移除这些受感染的扩展。由于现有的杀毒软件不会将JavaScript广告代码视为恶意程序，因此，要想分辨和判断哪些Chrome扩展被感染，可以说非常困难。

谷歌也为Chrome用户提供的账户数据同步，这也自动将Chrome扩展下载同步，进一步扩大了受影响范围，例如桌面PC设备、智能手机、平板电脑以及Chrome笔记本电脑。

几周前，雅虎网站也证实自家网站上的广告位被植入恶意代码，所幸的是，谷歌公司也意识到这个问题的严重性，在去年11月份开始在测试版浏览器中增加对恶意扩展的识别能力，但是随着Chrome用户基数的增加，越来越多的网络罪犯将注意力集中到Chrome用户群体，进行窃取个人信息，虚拟财产等活动。