文章总结： 恶意Chrome扩展MEXCAPIAutomator伪装交易工具，在用户访问MEXCAPI管理页面时静默创建带提现权限的密钥并隐藏界面提示，随后将密钥通过硬编码Telegram机器人外泄，29次下载即获长期账户控制权，攻击无需密码仅依赖已认证会话，可轻易移植至其他交易所 综合评分： 87 文章分类： 恶意软件,漏洞预警,WEB安全,数据泄露,应用安全

恶意Chrome扩展伪装交易工具窃取MEXC交易所API密钥

看雪学苑

看雪学苑

2026年1月14日 17:59 上海

网络安全研究员近日披露了一款恶意的Google Chrome扩展程序，该扩展程序伪装成一种自动化交易工具，专门窃取与全球性加密货币交易所MEXC关联的API密钥。MEXC是一家业务覆盖超过170个国家的中心化交易所。

这款名为“MEXC API Automator”（ID: pppdfgkfdemgfknfnhpkibbkabhghhfh）的扩展，截至报告时仍可在Chrome网上应用店中获取，已被下载29次。它由名为“jorjortan142”的开发者于2025年9月1日首次发布。

据网络安全公司Socket的研究员基里尔·博延科分析指出：“该扩展程序能够以编程方式创建新的MEXC API密钥，启用提现权限，同时在用户界面隐藏该权限，并将生成的API密钥和密钥秘密泄露给攻击者控制的硬编码Telegram机器人。”

根据Chrome网上应用店的描述，该插件声称能通过“在管理页面生成具备必要权限的API密钥”来“简化您的交易机器人与MEXC交易所的连接”，权限包括便于交易和提现。一旦安装，攻击者即可控制从受感染浏览器访问的任何MEXC账户，执行交易、进行自动提现，甚至清空通过该服务可访问的钱包和余额。

Socket补充说明：“实际上，一旦用户导航至MEXC的API管理页面，该扩展便会注入一个内容脚本script.js，并在已通过认证的MEXC会话内部开始操作。”为实现此目的，扩展会检查当前URL是否包含“/user/openapi”字符串，即API密钥管理页面。

随后，该脚本会以编程方式创建新的API密钥，并确保启用提现功能。同时，它会篡改页面用户界面，给用户造成提现权限已被禁用的假象。一旦生成访问密钥和密钥秘密的过程完成，脚本便会提取这两个值，并通过HTTPS POST请求将其传输到攻击者控制的硬编码Telegram机器人。

此威胁构成了严重风险，只要密钥有效且未被撤销，攻击者就能持续获得对受害者账户的无限访问权限，即使用户后续从Chrome浏览器中卸载了该扩展程序。

博延科指出：“实际上，威胁行为者将Chrome网上应用店作为传播渠道，将MEXC网络界面作为执行环境，并将Telegram作为数据外泄渠道。其结果就是一个专门定制的窃取凭证的扩展程序，在MEXC API密钥被创建和配置为全权限的那一刻实施窃取。”

这种攻击得以实现，是因为它利用了已通过认证的浏览器会话来达成目的，从而无需获取用户密码或绕过身份验证保护。

目前尚不清楚谁是此次攻击的幕后黑手，但“jorjortan142”这一名称指向一个同名的X账号，该账号链接至一个名为SwapSushiBot的Telegram机器人，该机器人同时在TikTok和YouTube上进行推广，其YouTube频道创建于2025年8月17日。

Socket警告称：“通过劫持浏览器内的单个API工作流程，威胁行为者可以绕过许多传统控制措施，直接获取具有提现权限的长期有效的API密钥。同样的手法很容易适配到其他交易所、DeFi仪表板、经纪商门户以及任何在会话中发放令牌的网络控制台。未来的变种可能会引入更复杂的混淆技术，请求更广泛的浏览器权限，并将对多平台的支持捆绑到单个扩展中。”

资讯来源：thehackernews

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑《恶意Chrome扩展伪装交易工具窃取MEXC交易所API密钥》