Расширение-переводчик честно переводит страницы. И в фоне стягивает каждый Authorization-заголовок, сливая Bearer-токен на сервер атакующего через обычный fetch(). Никакого эксплойта — просто штатный API браузера.webRequest onBeforeSendHeaders — 11...
Как браузерные расширения крадут данные: webRequest, declarativeNetRequest и техники перехвата трафика
Источник: codeby.net