Автор дополнения Particle, насчитывающего более 30 тысяч установок и предлагающего расширенные настройки для YouTube, обнаружил, что новый владелец проекта интегрировал в дополнение вредоносный код. Автор Particle начал работать над новым проектом Iridium, нацеленным на создание с нуля нового варианта дополнения для адаптации функциональности к новому оформлению YouTube, поэтому продал уже не развивающееся дополнение компании, которая ранее предлагала сотрудничество в размещении рекламы. Отмечается, что перед продажей автор дополнения наводил справки на компанию, но не обнаружил ничего подозрительного. К сожалению автор не может указать название компании и какие-либо иные детали сделки, так как перед продажей он подписал соглашение о неразглашении информации. Через некоторое время после продажи пользователи обратили внимание на расширение списка полномочий, которые запрашивает дополнение (добавились запросы на изменение просматриваемых сайтов и управление темами оформления). Разбор ситуации показал, что
Поставщики Adware ввели в практику новый метод распространения вредоносного программного обеспечения. Суть метода состоит в скупке популярных браузерных дополнений у авторов, которые устали заниматься проектом и не получают от него должную отдачу. Затем, пользуясь тем, что обновления к дополнениям для браузера Chrome устанавливаются молча, без подтверждения пользователя, под видом очередного обновления в браузеры пользователей перекупленного дополнения устанавливается JavaScript-код, совершающий вредоносные действия. Подобная участь постигла пользователей дополнений "Add to Feedly" и "Tweet This Page". В первом случае, примерно через месяц после продажи, более 30 тысяч пользователей дополнения "Add to Feedly" получили обновление, которое осуществляло подстановку рекламы во все просматриваемые в браузере страницы и организовывало принудительное открытие рекламных страниц при нажатии на ссылки. Похожий случай произошёл и с дополнением "Tweet This Page", пользователи которого в один прекрасный момент