有大佬帮忙分析一下最近被 Chrome 封禁的恶意扩展 Downloader for Instagram 吗？

提取的插件代码地址 https://1drv.ms/u/s!AgvNfRVAJ9JtalVDfu51zklGatM?e=RXByEn

主要问题出现在 background.js 内，疑似给扩展程序评分时会搜集电邮 Email 。另外平时使用会连结至两个网站，评分同时会给其他扩展程序评分

Ins 的 token 应该不会外泄，其他网站也不会有外泄风险

补充 Downloader for Instagram (olkpikmlhoaojbbmmpejnimiglejmboe) 扩展程序(插件)问题
会连结至 stats (.) script-protection (.) com 和 buso (.) users-experience (.) com
给这几个类似的扩展程序评分
"lpokmfekimfmecgdhjdbhidphhchlgml","mhobbbccfdlpigiikcnobledcncomamb","fdfgmkcegdjlpmgjlfkphamedoanpiek","odlpjhnipdekfkdkadoecooboghijleh","njgjofbileedkmkphcmhmpngdjdeloeh","bijmokeebhhbcgafagifkfaicjphhgki","bmnjbdbkbadeaplkemgboepplolkbomd"

我已自行修改去广告去有害链结去除评分的版本
www (.) mediafire (.) com / file / tldgy2wlhnx2307

pan (.) baidu (.) com / s / 1TCy0qKbSfEMaXKiNXwSrJQ
提取码 dej4

修改 stories.html popup.html /js/background.js /js/stories.js /js/popup.js
安装方法: Chrome 扩展程序 > 开发者模式 > 加载已解压的扩展程序

@Andy8X6MK 谢谢大佬，我还发现了几个问题

* `manifest.json` 中申请了 `\u003Call_urls>` 权限，导致扩展可以作用到全部域名，不知道意义何在。
* `background.js` 内从下载的图片中提取疑似命令的东西存储在 LocalStorage，不知道是否后借此窃取 token 或进行其它操作。

@Andy8X6MK 另外它还申请了读取访问历史记录的权限，Avast 的报告也提到了它会收集访问记录，请问收集的访问记录会被上传吗？我没找到它上传内容的代码。

我也没有找到上传代码，希望其他高手能解析