恶意Chrome扩展程序伪装交易工具窃取MEXC交易所API密钥
网络安全研究人员披露了一款恶意Google Chrome扩展程序的详细信息,该扩展程序伪装成在MEXC(一个在超过170个国家可用的中心化加密货币交易所)上自动化交易的工具,实则能够窃取与该交易所关联的API密钥。
Socket安全研究员Kirill Boychenko在一份分析报告中指出:"该扩展程序通过编程方式创建新的MEXC API密钥,启用提款权限,在用户界面中隐藏该权限,并将生成的API密钥和密钥泄露给威胁行为者控制的硬编码Telegram机器人。"
根据Chrome网上应用店的列表描述,这款网络浏览器插件被宣传为一种"通过管理页面生成具有必要权限(包括促进交易和提款)的API密钥,来简化将交易机器人连接到MEXC交易所"的扩展程序。
通过这种方式,已安装的扩展程序使威胁行为者能够控制从受感染浏览器访问的任何MEXC账户,允许他们执行交易、进行自动提款,甚至清空通过该服务可访问的钱包和余额。
Socket补充道:"实际上,一旦用户导航到MEXC的API管理页面,该扩展程序就会注入一个内容脚本script.js,并在已通过身份验证的MEXC会话内部开始操作。"为实现此目的,该扩展程序会检查当前URL是否包含字符串"/user/openapi",这指向API密钥管理页面。
随后,该脚本通过编程方式创建一个新的API密钥,并确保启用提款功能。同时,它篡改页面用户界面,给用户造成提款权限已被禁用的印象。一旦生成访问密钥和秘密密钥的过程完成,脚本就会提取这两个值,并通过HTTPS POST请求将它们传输到威胁行为者控制下的硬编码Telegram机器人。
此威胁构成严重风险,因为只要密钥有效且未被撤销,它就会保持活动状态,即使受害者最终从Chrome浏览器卸载了该扩展程序,攻击者仍能不受限制地访问受害者的账户。
Boychenko指出:"实际上,威胁行为者将Chrome网上应用店用作传播机制,将MEXC网络用户界面用作执行环境,将Telegram用作数据泄露渠道。其结果是一个专门构建的凭据窃取扩展程序,在MEXC API密钥被创建并配置为具有完整权限的时刻对其进行窃取。"
这种攻击之所以能够实现,是因为它利用了已通过身份验证的浏览器会话来达成其目标,从而无需获取用户密码或绕过身份验证保护。
目前尚不清楚谁是此次攻击的幕后黑手,但一个指向"jorjortan142"的线索关联到一个同名的X账号,该账号链接到一个名为SwapSushiBot的Telegram机器人,该机器人同时在TikTok和YouTube上进行推广。该YouTube频道创建于2025年8月17日。
Socket表示:"通过劫持浏览器内的单个API工作流程,威胁行为者可以绕过许多传统控制措施,直接获取具有提款权限的长期有效的API密钥。同样的手法可以很容易地适用于其他交易所、DeFi仪表板、经纪商门户网站以及任何在会话中颁发令牌的网络控制台,未来的变种可能会引入更重的混淆技术、请求更广泛的浏览器权限,并将对多个平台的支持捆绑到单个扩展程序中。"
觉得这篇文章有趣吗?请关注我们的Google News、Twitter和LinkedIn,阅读我们发布的更多独家内容。