恶意Chrome扩展冒充交易工具窃取MEXC API密钥

网络安全研究人员披露了一个恶意Google Chrome扩展程序的详细信息，该扩展程序能够窃取与MEXC相关的API密钥。MEXC是一家在170多个国家可用的中心化加密货币交易所，而这个扩展程序伪装成平台交易自动化工具。

该扩展程序名为MEXC API Automator（ID: pppdfgkfdemgfknfnhpkibbkabhghhfh），目前有29次下载，截至撰写时仍在Chrome网上应用店中可用。该扩展于2025年9月1日首次发布，开发者名为"jorjortan142"。

Socket安全研究员Kirill Boychenko在分析中表示："该扩展程序会以编程方式创建新的MEXC API密钥，启用提现权限，在用户界面中隐藏该权限，并将生成的API密钥和密钥泄露给威胁行为者控制的硬编码Telegram机器人。"

扩展程序的工作原理

根据Chrome网上应用店的列表，该网页浏览器插件被描述为一个"通过在管理页面生成具有必要权限的API密钥来简化将交易机器人连接到MEXC交易所"的扩展程序，包括促进交易和提现。

通过这种方式，已安装的扩展程序使威胁行为者能够控制从被入侵浏览器访问的任何MEXC账户，允许他们执行交易、进行自动提现，甚至清空可通过该服务访问的钱包和余额。

Socket补充道："实际上，一旦用户导航到MEXC的API管理页面，扩展程序就会注入一个内容脚本script.js，并开始在已经经过身份验证的MEXC会话内运行。"为了实现这一点，扩展程序会检查当前URL是否包含字符串"/user/openapi"，这指向API密钥管理页面。

脚本随后以编程方式创建新的API密钥，并确保启用提现功能。同时，它会篡改页面的用户界面，给用户造成提现权限已被禁用的印象。一旦生成访问密钥和密钥的过程完成，脚本就会提取这两个值，并使用HTTPS POST请求将它们传输到威胁行为者控制的硬编码Telegram机器人。

持续性威胁和攻击渠道

这种威胁构成严重风险，因为只要密钥有效且未被撤销，它就会保持活跃状态，即使用户最终从Chrome浏览器卸载扩展程序，攻击者仍能不受限制地访问受害者的账户。

Boychenko指出："实际上，威胁行为者使用Chrome网上应用店作为传递机制，使用MEXC网页界面作为执行环境，使用Telegram作为泄露渠道。结果是一个专门构建的凭据窃取扩展程序，在MEXC API密钥创建时就对其进行针对性攻击，并配置完全权限。"

该攻击之所以成为可能，是因为它利用已经经过身份验证的浏览器会话来实现其目标，从而避免了获取用户密码或绕过身份验证保护的需要。

威胁行为者身份和未来风险

目前还不清楚该操作的幕后人员，但对"jorjortan142"的引用指向一个同名的X账户，该账户链接到一个名为SwapSushiBot的Telegram机器人，该机器人也在TikTok和YouTube上进行推广。相关YouTube频道创建于2025年8月17日。

Socket表示："通过劫持浏览器内的单个API工作流，威胁行为者可以绕过许多传统控制措施，直接获取具有提现权限的长期API密钥。同样的手法可以轻松适用于其他交易所、去中心化金融仪表板、经纪人门户以及任何在会话中发布令牌的网页控制台，未来的变体可能会引入更强的混淆技术，请求更广泛的浏览器权限，并将对多个平台的支持打包到单个扩展程序中。"

Q&A

Q1：MEXC API Automator扩展程序是如何窃取用户API密钥的？

A：该恶意扩展程序会在用户访问MEXC的API管理页面时自动注入脚本，以编程方式创建新的API密钥并启用提现权限，同时在用户界面中隐藏这些权限设置。生成完成后，它会将API密钥和密钥泄露给威胁行为者控制的Telegram机器人。

Q2：安装了这个恶意扩展程序会面临什么风险？

A：威胁行为者可以完全控制用户的MEXC账户，包括执行交易、进行自动提现，甚至清空钱包余额。更严重的是，即使用户卸载了扩展程序，只要API密钥未被撤销，攻击者仍能持续访问账户。

Q3：如何防范类似的恶意Chrome扩展程序攻击？

A：用户应该谨慎安装来源不明的浏览器扩展程序，特别是涉及加密货币交易的工具。定期检查和撤销不必要的API密钥，监控账户异常活动，并只从可信开发者处下载扩展程序。对于交易所操作，建议使用官方应用程序而非第三方扩展。