【安全圈】恶意Chrome扩展程序伪装交易工具窃取MEXC交易所API密钥|chrome|交易工具|交易所|密钥|浏览器

关键词

恶意程序

网络安全研究人员近日披露了一款恶意Google Chrome扩展程序的详细信息。该扩展程序伪装成自动化交易工具，专门窃取与MEXC交易所相关的API密钥。MEXC是一家业务覆盖170多个国家的中心化加密货币交易所（CEX）。

恶意扩展仍在运营

这款名为"MEXC API Automator"（ID: pppdfgkfdemgfknfnhpkibbkabhghhfh）的扩展程序截至发稿时仍在Chrome应用商店提供下载，已累计被安装29次。该扩展由名为"jorjortan142"的开发者于2025年9月1日首次发布。

Socket安全研究员Kirill Boychenko在分析报告中指出："该扩展会通过编程方式创建新的MEXC API密钥，启用提现权限，同时在用户界面隐藏该权限设置，并将生成的API密钥和密钥秘密外泄至攻击者控制的预设Telegram机器人。"

精心设计的窃密机制

根据Chrome应用商店的说明，这款浏览器插件声称能"简化交易机器人与MEXC交易所的连接"，通过在管理页面生成具有必要权限的API密钥来促进交易和提现操作。

实际上，安装该扩展后，攻击者就能控制通过受感染浏览器访问的任何MEXC账户，执行交易操作、发起自动提现，甚至清空通过该服务可访问的所有钱包余额。

Socket补充说明："当用户访问MEXC的API管理页面时，扩展会注入一个名为script.js的内容脚本，在已认证的MEXC会话中开始运作。"为实现这一目的，扩展会检查当前URL是否包含"/user/openapi"字符串，即API密钥管理页面地址。

隐蔽的权限操控

脚本随后会通过编程方式创建新的API密钥，并确保启用提现功能。与此同时，它会篡改页面用户界面，让用户误以为提现权限已被禁用。在生成访问密钥和密钥秘密后，脚本会立即提取这些值，并通过HTTPS POST请求将其发送至攻击者控制的预设Telegram机器人。

这种威胁具有极高风险，只要密钥未被撤销就一直有效。即使用户从Chrome浏览器卸载了该扩展，攻击者仍能持续访问受害者账户。

攻击技术剖析

Boychenko指出："攻击者实际上将Chrome应用商店作为传播渠道，MEXC网页界面作为执行环境，Telegram则充当数据外泄通道。最终形成了一个专门窃取MEXC API密钥的扩展程序，在密钥创建并配置完整权限的瞬间实施窃取。"

该攻击之所以能够得逞，是因为它利用了已通过认证的浏览器会话，无需获取用户密码或绕过认证保护措施。

幕后黑手调查

目前尚不清楚攻击者的真实身份，但"jorjortan142"这一名称关联到一个同名的X平台账号，该账号链接至名为SwapSushiBot的Telegram机器人，该机器人同时在TikTok和YouTube上进行推广。相关YouTube频道创建于2025年8月17日。

Socket警告称："通过劫持浏览器内的单个API工作流程，攻击者可以绕过许多传统控制措施，直接获取具有提现权限的长期有效API密钥。同样的攻击手法可以轻易适配其他交易所、DeFi仪表盘、经纪商门户以及任何在会话中发放令牌的网页控制台。未来变种可能会采用更复杂的混淆技术，请求更广泛的浏览器权限，并将对多平台的支持捆绑到单个扩展中。"