【安全圈】惡意Chrome擴展程序偽裝交易工具竊取MEXC交易所API密鑰

關(guān)鍵詞

惡意程序

網(wǎng)絡(luò)安全研究人員近日披露了一款惡意Google Chrome擴展程序的詳細信息。該擴展程序偽裝成自動化交易工具，專門竊取與MEXC交易所相關(guān)的API密鑰。MEXC是一家業(yè)務(wù)覆蓋170多個國家的中心化加密貨幣交易所（CEX）。

惡意擴展仍在運營

這款名為"MEXC API Automator"（ID: pppdfgkfdemgfknfnhpkibbkabhghhfh）的擴展程序截至發(fā)稿時仍在Chrome應(yīng)用商店提供下載，已累計被安裝29次。該擴展由名為"jorjortan142"的開發(fā)者于2025年9月1日首次發(fā)布。

Socket安全研究員Kirill Boychenko在分析報告中指出："該擴展會通過編程方式創(chuàng)建新的MEXC API密鑰，啟用提現(xiàn)權(quán)限，同時在用戶界面隱藏該權(quán)限設(shè)置，并將生成的API密鑰和密鑰秘密外泄至攻擊者控制的預(yù)設(shè)Telegram機器人。"

精心設(shè)計的竊密機制

根據(jù)Chrome應(yīng)用商店的說明，這款瀏覽器插件聲稱能"簡化交易機器人與MEXC交易所的連接"，通過在管理頁面生成具有必要權(quán)限的API密鑰來促進交易和提現(xiàn)操作。

實際上，安裝該擴展后，攻擊者就能控制通過受感染瀏覽器訪問的任何MEXC賬戶，執(zhí)行交易操作、發(fā)起自動提現(xiàn)，甚至清空通過該服務(wù)可訪問的所有錢包余額。

Socket補充說明："當(dāng)用戶訪問MEXC的API管理頁面時，擴展會注入一個名為script.js的內(nèi)容腳本，在已認證的MEXC會話中開始運作。"為實現(xiàn)這一目的，擴展會檢查當(dāng)前URL是否包含"/user/openapi"字符串，即API密鑰管理頁面地址。

隱蔽的權(quán)限操控

腳本隨后會通過編程方式創(chuàng)建新的API密鑰，并確保啟用提現(xiàn)功能。與此同時，它會篡改頁面用戶界面，讓用戶誤以為提現(xiàn)權(quán)限已被禁用。在生成訪問密鑰和密鑰秘密后，腳本會立即提取這些值，并通過HTTPS POST請求將其發(fā)送至攻擊者控制的預(yù)設(shè)Telegram機器人。

這種威脅具有極高風(fēng)險，只要密鑰未被撤銷就一直有效。即使用戶從Chrome瀏覽器卸載了該擴展，攻擊者仍能持續(xù)訪問受害者賬戶。

攻擊技術(shù)剖析

Boychenko指出："攻擊者實際上將Chrome應(yīng)用商店作為傳播渠道，MEXC網(wǎng)頁界面作為執(zhí)行環(huán)境，Telegram則充當(dāng)數(shù)據(jù)外泄通道。最終形成了一個專門竊取MEXC API密鑰的擴展程序，在密鑰創(chuàng)建并配置完整權(quán)限的瞬間實施竊取。"

該攻擊之所以能夠得逞，是因為它利用了已通過認證的瀏覽器會話，無需獲取用戶密碼或繞過認證保護措施。

幕后黑手調(diào)查

目前尚不清楚攻擊者的真實身份，但"jorjortan142"這一名稱關(guān)聯(lián)到一個同名的X平臺賬號，該賬號鏈接至名為SwapSushiBot的Telegram機器人，該機器人同時在TikTok和YouTube上進行推廣。相關(guān)YouTube頻道創(chuàng)建于2025年8月17日。

Socket警告稱："通過劫持瀏覽器內(nèi)的單個API工作流程，攻擊者可以繞過許多傳統(tǒng)控制措施，直接獲取具有提現(xiàn)權(quán)限的長期有效API密鑰。同樣的攻擊手法可以輕易適配其他交易所、DeFi儀表盤、經(jīng)紀(jì)商門戶以及任何在會話中發(fā)放令牌的網(wǎng)頁控制臺。未來變種可能會采用更復(fù)雜的混淆技術(shù)，請求更廣泛的瀏覽器權(quán)限，并將對多平臺的支持捆綁到單個擴展中。"

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！