A lopás adathalász módszerrel történik: a támadó küld egy e-mailt a Google nevében a fejlesztőknek, majd ráveszi őket a Google-fiókjuk felhasználói nevének és jelszavának megadására. Ezután bejelentkezik a fiókjukba, és átruházza a bővítményük tulajdoni jogát a saját felhasználói fiókjára. Ennek következtében az eredeti fejlesztők elveszítik az irányítást a Chrome áruházban már listázott bővítményeik felett.

A Twitteren Kafeine nevet használó biztonsági kutatónak köszönhetően kiderült, hogy az eddig véltnél sokkal nagyobb a baj.

Bizonyítékai vannak arra, hogy a Copyfish és Web Developer mellett – valószínűleg ugyanaz a támadó – a Chrometana, az Infinity New Tab, a Web Paint, a Social Fixer, a TouchVPN, továbbá a Betternet VPN kiegészítők felett is átvette az irányítást. A nyolc bővítmény rosszindulatú verziói összesen 4,8 millió felhasználónál települtek.

Sajnos a Google Chrome felhasználói csak azzal tudják elejét venni a fertőzött bővítmények használatának, hogy nem telepítenek kiegészítőket. A lopást a fejlesztőknek kellene megakadályozniuk: egyszerűen nem szabad hagyniuk, hogy becsapják őket, plusz a kétfaktoros hitelesítés bekapcsolásával is megakadályozhatják a bővítményeik eltulajdonítását.