Los investigadores de ciberseguridad han revelado detalles de una extensión maliciosa de Google Chrome que es capaz de robar las claves de API asociadas con MEXC, un intercambio de criptomonedas centralizado (CEX) disponible en más de 170 países , mientras se hace pasar por una herramienta para automatizar las operaciones en la plataforma.
La extensión, denominada MEXC API Automator (ID: pppdfgkfdemgfknfnhpkibbkabhghhfh), cuenta con 29 descargas y todavía está disponible en Chrome Web Store al momento de escribir este artículo. La publicó por primera vez el 1 de septiembre de 2025 un desarrollador llamado «jorjortan142».
«La extensión crea mediante programación nuevas claves de API de MEXC, permite retirar los permisos, oculta ese permiso en la interfaz de usuario (UI) y filtra la clave y el secreto de la API resultantes a un bot de Telegram codificado y controlado por el actor de la amenaza», afirma Kirill Boychenko, investigador de seguridad de Socket, en un análisis.
Según la lista de Chrome Web Store, el complemento del navegador web se describe como una extensión que «simplifica la conexión de su robot de negociación a la bolsa MEXC» al generar las claves de API con los permisos necesarios en la página de administración, incluso para facilitar las operaciones y los retiros.
Al hacerlo, la extensión instalada permite a un actor de amenazas controlar cualquier cuenta de MEXC a la que se acceda desde el navegador comprometido, lo que le permite ejecutar operaciones, realizar retiros automáticos e incluso agotar las carteras y los saldos a los que se puede acceder a través del servicio.
«En la práctica, tan pronto como el usuario navega a la página de administración de API de MEXC, la extensión inyecta un único script de contenido, script.js, y comienza a funcionar dentro de la sesión de MEXC ya autenticada», agregó Socket. Para ello, la extensión comprueba si la URL actual contiene la cadena «/user/openapi», que hace referencia a Página de administración de claves de API .
A continuación, el script crea mediante programación una nueva clave de API y garantiza que la capacidad de retirada esté habilitada. Al mismo tiempo, manipula la interfaz de usuario de la página para dar la impresión al usuario de que el permiso de retirada se ha desactivado. En cuanto finaliza el proceso de generación de la clave de acceso y la clave secreta, el script extrae ambos valores y los transmite a un bot de Telegram codificado bajo el control del autor de la amenaza mediante una solicitud HTTPS POST.
La amenaza representa un grave riesgo, ya que permanece activa mientras las claves sean válidas y no estén revocadas, lo que otorga a los atacantes un acceso sin restricciones a la cuenta de la víctima, incluso si terminan desinstalando la extensión del navegador Chrome.
«En efecto, el actor de amenazas utiliza Chrome Web Store como mecanismo de entrega, la interfaz de usuario web de MEXC como entorno de ejecución y Telegram como canal de exfiltración», señaló Boychenko. «El resultado es una extensión diseñada específicamente para robar credenciales que se dirige a las claves de la API de MEXC en el momento en que se crean y configuran con todos los permisos».
El ataque es posible gracias al hecho de que aprovecha una sesión de navegador ya autenticada para alcanzar sus objetivos, lo que evita la necesidad de obtener la contraseña de un usuario o eludir las protecciones de autenticación.
Actualmente no está claro quién está detrás de la operación, pero una referencia a «jorjortan142" apunta a un Empuñadura en X con el mismo nombre que enlaza con un bot de Telegram llamado SwapSushiBot, que también se promociona en TikTok y YouTube . El canal de YouTube se creó el 17 de agosto de 2025.
«Al secuestrar un único flujo de trabajo de API dentro del navegador, los actores de amenazas pueden eludir muchos controles tradicionales e ir directamente a buscar claves de API de larga duración con derechos de retirada», afirma Socket. «El mismo manual se puede adaptar fácilmente a otros intercambios, paneles de DeFi, portales de corredores y cualquier consola web que emita tokens durante una sesión, y es probable que las variantes futuras introduzcan una mayor ofuscación, soliciten permisos de navegador más amplios y agrupen el soporte para múltiples plataformas en una sola extensión».
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS