Sin analizar la versión maliciosa de la extensión, es imposible decir lo que hizo. Sin embargo, como extensión, no tendría la mayoría de las limitaciones que se aplican a los scripts en las páginas web: por ejemplo, la misma política de origen no se aplicaría, lo que significa que cualquier información que haya ingresado en cualquier página mientras la extensión estaba activo en su sistema podría haber sido capturado y enviado al atacante.
Chrome proporciona un montón de otras API a las extensiones que permiten el acceso a otros datos dentro del navegador: enlace Estos incluyen acceso a cookies (tanto para sitios visitados mientras la extensión está activa como para aquellos almacenados para otros sitios), acceso a los controles de privacidad para el navegador, acceso a la configuración de DNS para el navegador y acceso a los datos de geolocalización, sin necesidad de un simbolo. No estoy seguro de cuál de estos usó la extensión para desarrolladores web, pero dado el uso para el que está destinado, es probable que al menos pueda acceder a los datos de las cookies.
Dado eso, cualquier sitio en el que tenga una sesión activa, incluso si no los visitó mientras la extensión maliciosa estaba activa, podría haberse visto comprometido. Cualquier contraseña que ingresó mientras la extensión estaba activa podría haber sido comprometida. Cualquier información que ingresó en otros campos (ventanas de chat, cuadros de búsqueda, carga de archivos) podría haber sido comprometida. Cualquier información mostrada a usted por un sitio web podría haber sido comprometida. ¡Y eso es solo por el conjunto mínimo de permisos que la extensión debería funcionar!
Si se otorgaron más permisos (ya sea que la extensión legítima los requiera, o si la versión maliciosa los solicitó y recibió), las posibilidades empeoran. Podría desactivar el modo de navegación segura, por lo que no recibirá advertencias en sitios web maliciosos que Google haya detectado, por ejemplo.
Todo depende de qué permisos tenía la extensión ...