文章总结： 研究员揭露恶意Chrome扩展MEXCAPIAutomator，伪装成交易工具窃取MEXCAPI密钥。该程序注入脚本创建具有提现权限的密钥并隐藏UI显示，将凭证窃取至Telegram机器人。即使卸载扩展攻击者仍可盗取资金。此手法利用已认证会话且可适配其他平台，建议用户立即撤销可疑密钥并警惕非官方插件。 综合评分： 88 文章分类： 恶意软件,威胁情报,数据泄露,安全意识,区块链安全

【安全圈】恶意Chrome扩展程序伪装交易工具窃取MEXC交易所API密钥

安全圈

2026年1月14日 19:00 江苏

关键词

恶意程序

网络安全研究人员近日披露了一款恶意Google Chrome扩展程序的详细信息。该扩展程序伪装成自动化交易工具，专门窃取与MEXC交易所相关的API密钥。MEXC是一家业务覆盖170多个国家的中心化加密货币交易所（CEX）。

恶意扩展仍在运营

这款名为”MEXC API Automator”（ID: pppdfgkfdemgfknfnhpkibbkabhghhfh）的扩展程序截至发稿时仍在Chrome应用商店提供下载，已累计被安装29次。该扩展由名为”jorjortan142″的开发者于2025年9月1日首次发布。

Socket安全研究员Kirill Boychenko在分析报告中指出：”该扩展会通过编程方式创建新的MEXC API密钥，启用提现权限，同时在用户界面隐藏该权限设置，并将生成的API密钥和密钥秘密外泄至攻击者控制的预设Telegram机器人。”

精心设计的窃密机制

根据Chrome应用商店的说明，这款浏览器插件声称能”简化交易机器人与MEXC交易所的连接”，通过在管理页面生成具有必要权限的API密钥来促进交易和提现操作。

实际上，安装该扩展后，攻击者就能控制通过受感染浏览器访问的任何MEXC账户，执行交易操作、发起自动提现，甚至清空通过该服务可访问的所有钱包余额。

Socket补充说明：”当用户访问MEXC的API管理页面时，扩展会注入一个名为script.js的内容脚本，在已认证的MEXC会话中开始运作。”为实现这一目的，扩展会检查当前URL是否包含”/user/openapi”字符串，即API密钥管理页面地址。

隐蔽的权限操控

脚本随后会通过编程方式创建新的API密钥，并确保启用提现功能。与此同时，它会篡改页面用户界面，让用户误以为提现权限已被禁用。在生成访问密钥和密钥秘密后，脚本会立即提取这些值，并通过HTTPS POST请求将其发送至攻击者控制的预设Telegram机器人。

这种威胁具有极高风险，只要密钥未被撤销就一直有效。即使用户从Chrome浏览器卸载了该扩展，攻击者仍能持续访问受害者账户。

攻击技术剖析

Boychenko指出：”攻击者实际上将Chrome应用商店作为传播渠道，MEXC网页界面作为执行环境，Telegram则充当数据外泄通道。最终形成了一个专门窃取MEXC API密钥的扩展程序，在密钥创建并配置完整权限的瞬间实施窃取。”

该攻击之所以能够得逞，是因为它利用了已通过认证的浏览器会话，无需获取用户密码或绕过认证保护措施。

幕后黑手调查

目前尚不清楚攻击者的真实身份，但”jorjortan142″这一名称关联到一个同名的X平台账号，该账号链接至名为SwapSushiBot的Telegram机器人，该机器人同时在TikTok和YouTube上进行推广。相关YouTube频道创建于2025年8月17日。

Socket警告称：”通过劫持浏览器内的单个API工作流程，攻击者可以绕过许多传统控制措施，直接获取具有提现权限的长期有效API密钥。同样的攻击手法可以轻易适配其他交易所、DeFi仪表盘、经纪商门户以及任何在会话中发放令牌的网页控制台。未来变种可能会采用更复杂的混淆技术，请求更广泛的浏览器权限，并将对多平台的支持捆绑到单个扩展中。”

END

阅读推荐

【安全圈】河南省考报名系统高峰时段崩溃

【安全圈】知名黑客论坛数据库泄露！逾32万名用户数据被公开

【安全圈】Telegram 暴露用户真实IP地址，可一键绕过 Android 和 iOS 代理

【安全圈】GoBruteforcer 僵尸网络利用弱凭证攻击加密货币项目数据库

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】恶意Chrome扩展程序伪装交易工具窃取MEXC交易所API密钥》