Supponendo che, come dici tu, non usi una password principale, e così il database delle password sia memorizzato in testo chiaro:
Dipende dal tipo di malware a cui ti riferisci.
Se c'è un exploit 0day (o si utilizza un browser senza patch), che 'break out', incorporato in una qualsiasi delle cose che si menzionano, causando in modo efficace l'esecuzione arbitraria di codice sul proprio host, allora quel malware sarà in grado di recuperare l'intero database (ma questa sarà l'ultima delle tue preoccupazioni).
Nel caso comune della semplice esecuzione di javascript (ad esempio di xss), lo script potrebbe essere in grado di acquisire la password associata ai moduli di quella pagina specifica.
Anche in questo caso, se nel browser è presente un difetto non patchato di cui lo script si avvale, come rompere le protezioni di Same Origin Policy del browser, potrebbe essere in grado di recuperare qualsiasi password dal database.
Infine, se l'attaccante non può "ingannare il browser" (come nell'attaccare una vulnerabilità), potrebbe anche cercare di "ingannare l'utente" - pensa l'ingegneria sociale - usando un modo sottile per farlo che tu invii il database da solo senza accorgertene.