< 返回
恶意Chrome扩展窃取MEXC 
2026-01-14 10:27
作者:数掘云算
阅读量:100
近日,网络安全研究人员披露了一款针对Google Chrome浏览器的恶意扩展程序。该插件伪装成自动化交易辅助工具,实际用途是窃取与加密货币交易所 MEXC 相关的 API 密钥。MEXC 是一家覆盖全球170多个国家和地区的中心化加密资产交易平台。
恶意插件仍可下载
这款名为“MEXC API Automator”(扩展ID:pppdfgkfdemgfknfnhpkibbkabhghhfh)的插件,在披露时仍可在 Chrome 应用商店中下载,累计安装次数约为29次。插件开发者署名为“jorjortan142”,首次上线时间为2025年9月1日。
Socket 安全研究员 Kirill Boychenko 在分析中指出,该扩展会在后台自动创建新的 MEXC API 密钥,并强制开启提现权限,同时刻意在界面中隐藏相关设置。生成后的 API Key 与 Secret 会被立即发送至攻击者预设的 Telegram 机器人。
伪装功能与真实威胁
从官方描述来看,该插件宣称可“帮助交易机器人快速连接 MEXC”,并通过自动生成具备所需权限的 API 密钥,提升交易与资金操作效率。
但实际上,一旦用户安装该插件并登录 MEXC,攻击者便可完全接管该账户的 API 权限,执行交易指令、发起自动提现,甚至转移或耗尽账户内所有可访问资产。
Socket 进一步说明,当用户进入 MEXC 的 API 管理页面时,扩展会注入一个名为 script.js 的内容脚本。该脚本通过检测 URL 中是否包含 /user/openapi 来确认目标页面,并在用户已登录的会话环境中运行。
隐蔽的权限篡改行为
随后,脚本会自动创建新的 API 密钥,并确保启用提现功能。同时,它会篡改页面显示,使用户误以为提现权限处于关闭状态。在成功生成 API Key 和 Secret 后,脚本会立即抓取这些敏感信息,并通过 HTTPS POST 请求上传至攻击者控制的 Telegram 机器人。
这种攻击方式风险极高。只要 API 密钥未被手动撤销,即便用户卸载了该扩展,攻击者仍可持续访问受害账户。
攻击链条解析
Boychenko 指出,该攻击形成了一条完整的滥用链路:Chrome 应用商店被用作分发渠道,MEXC 官方网页成为执行环境,而 Telegram 则承担了数据外泄的角色。攻击者在 API 密钥刚创建并被赋予完整权限的瞬间完成窃取。
该手法之所以奏效,是因为整个过程依赖于用户已通过认证的浏览器会话,无需获取账号密码,也不需要绕过额外的身份验证机制。
攻击者线索与潜在风险
目前攻击者的真实身份尚未确认。不过,“jorjortan142” 这一名称与 X 平台上的同名账号有关,该账号关联一个名为SwapSushiBot的 Telegram 机器人,并在 TikTok 与 YouTube 上进行推广。相关 YouTube 频道创建于 2025 年 8 月 17 日。
Socket 警告称,通过劫持浏览器中的单一 API 操作流程,攻击者便可绕过多种传统安全控制,直接获取长期有效、具备提现权限的 API 密钥。类似攻击方式同样适用于其他交易所、DeFi 控制台、券商后台或任何基于会话发放令牌的网页系统。未来版本可能引入更复杂的代码混淆、申请更高权限,甚至整合多平台攻击能力。
网站资讯
渠道合作
解决方案
更多服务
