質問です。まず質問するに至った前提を少し記述します。
普段使っていないChromeに身に覚えのない拡張機能がインストールされていました。
ユーザー数1人のHTTP Headersという拡張機能で、物凄く怪しい物です。
履歴から見るとその拡張機能のウェブストアにアクセスした履歴が残っていましたが、’Chromeに追加’ボタンを押した記憶はありません。
そのウェブストアのページにも自分からアクセスしたのではなく、閲覧履歴から察するに、Chromeを立ち上げたらセキュリティアップデートを促す画面が全てのタブに強制で表示され、そこでクリックしてしまったためそのウェブストアのページにアクセスしたのだと思います。(その後Chromeが強制で終了されるようになったので詳細はわかりません)
おそらくそれ以前の時点で既に拡張機能がChromeに追加されていたのではないかと考えてます。

そこで質問なのですが、
・拡張機能の権限について調べてページ上で自動で入力されるパスワードは盗まれることはわかりましたが、入力の必要のないサイトやサービス(Cookieでログインする形式)のパスワードも盗まれるのでしょうか?
 >>703にあるギガジンの記事を読むとCookieに保存されたトークンの取得とありますが、このトークンというのがパスワードの事なのでしょうか
・GoogleChromeで表示していないサイトの自動入力パスワード(chrome://settings/passwordsで保持されているパスワード)も盗まれるのでしょうか?
・GoogleChromeを起動しないまま拡張機能を追加することは可能なのでしょうか?(例えば他のインストーラーを介してAppData\Local\Google\Chrome\User Data\Default\Extensions に直接拡張機能をローカルでインストールする等)
よろしくお願いします。