Investigadores de ciberseguridad han revelado detalles de una extensión maliciosa de Google Chrome que es capaz de robar claves API asociadas con MEXC, un intercambio centralizado de criptomonedas (CEX) arreglado en más de 170 países, haciéndose advenir por una utensilio para automatizar el comercio en la plataforma.
La extensión, denominada MEXC API Automator (ID: pppdfgkfdemgfknfnhpkibbkabhghhfh), tiene 29 descargas y todavía está arreglado en Chrome Web Store al momento de escribir este artículo. Fue publicado por primera vez el 1 de septiembre de 2025 por un desarrollador llamado “jorjortan142”.
“La extensión crea mediante programación nuevas claves API MEXC, habilita permisos de retiro, oculta ese permiso en la interfaz de adjudicatario (UI) y filtra la esencia API resultante y el secreto a un bot de Telegram codificado controlado por el actor de amenazas”, dijo el investigador de seguridad de Socket Kirill Boychenko en un exploración.
Según el lista de Chrome Web Store, el complemento del navegador web se describe como una extensión que “simplifica la conexión de su autómata comercial al intercambio MEXC” generando claves API con los permisos necesarios en la página de dependencia, incluso para simplificar el comercio y los retiros.
Al hacerlo, la extensión instalada permite a un actor de amenazas controlar cualquier cuenta MEXC a la que se acceda desde el navegador comprometido, permitiéndole ejecutar operaciones, realizar retiros automáticos e incluso pincharse las billeteras y saldos accesibles a través del servicio.
“En la actos, tan pronto como el adjudicatario navega a la página de dependencia de API de MEXC, la extensión inyecta un script de contenido único, script.js, y comienza a actuar en el interior de la sesión de MEXC ya autenticada”, agregó Socket. Para alcanzar esto, la extensión verifica si la URL contemporáneo contiene la esclavitud “/user/openapi”, que hace remisión a la página de dependencia de claves API.
Luego, el script crea mediante programación una nueva esencia API y garantiza que la capacidad de retiro esté habilitada. Al mismo tiempo, altera la interfaz de adjudicatario de la página para darle la impresión al adjudicatario de que el permiso de retiro ha sido deshabilitado. Tan pronto como se completa el proceso para crear la esencia de golpe y la esencia secreta, el script extrae los dos títulos y los transmite a un bot de Telegram codificado bajo el control del actor de la amenaza mediante una solicitud HTTPS POST.
La amenaza plantea un aventura solemne, ya que permanece activa mientras las claves sean válidas y no sean revocadas, otorgando a los atacantes golpe ilimitado a la cuenta de la víctima incluso si terminan desinstalando la extensión del navegador Chrome.
“En impacto, el actor de amenazas utiliza Chrome Web Store como mecanismo de entrega, la interfaz de adjudicatario web de MEXC como entorno de ejecución y Telegram como canal de exfiltración”, señaló Boychenko. “El resultado es una extensión de robo de credenciales especialmente diseñada que apunta a las claves API de MEXC en el momento en que se crean y configuran con permisos completos”.
El ataque es posible gracias al hecho de que aprovecha una sesión de navegador ya autenticada para alcanzar sus objetivos, evitando así la penuria de obtener la contraseña de un adjudicatario o eludir las protecciones de autenticación.
Actualmente no está claro quién está detrás de la operación, pero una remisión a “jorjortan142” apunta a un identificador X con el mismo nombre que enlaza con un bot de Telegram llamado SwapSushiBot, que asimismo se promociona en TikTok y YouTube. El canal de YouTube fue creado el 17 de agosto de 2025.
“Al secuestrar un único flujo de trabajo API en el interior del navegador, los actores de amenazas pueden eludir muchos controles tradicionales e ir directamente a claves API de larga duración con derechos de retiro”, dijo Socket. “El mismo manual se puede adaptar fácilmente a otros intercambios, paneles de DeFi, portales de corredores y cualquier consola web que emita tokens en sesión, y es probable que las variantes futuras introduzcan una veterano ofuscación, soliciten permisos de navegador más amplios y agrupen soporte para múltiples plataformas en una sola extensión”.
