Investigadores de ciberseguridad han detallado una extensión maliciosa de Google Chrome que puede robar claves API relacionadas con MEXC, un intercambio centralizado de criptomonedas (CEX) disponible en más de 170 países, haciéndose pasar por una herramienta para automatizar transacciones en la plataforma.
La extensión se llama MEXC API Automator (ID: pppdfgkfdemgfknfnhpkibbkabhghhfh), tiene 29 descargas y todavía está disponible en Chrome Web Store al momento de escribir este artículo. Fue publicado por primera vez el 1 de septiembre de 2025 por un desarrollador llamado ‘jorjortan142’.
«La extensión crea mediante programación nuevas claves API MEXC, habilita privilegios de retiro, las oculta en la interfaz de usuario (UI) y filtra las claves API generadas y los secretos a un bot de Telegram codificado controlado por el actor de amenazas», dijo en un análisis el investigador de seguridad de Sockets, Kirill Boychenko.
Según el listado de Chrome Web Store, este complemento del navegador web se describe como una extensión que «simplifica la conexión de robots comerciales a los intercambios MEXC» generando claves API con los permisos necesarios en la página de administración, incluida la facilitación del comercio y los retiros.
Luego, la extensión instalada permite al atacante tomar el control de cualquier cuenta MEXC a la que se acceda desde el navegador comprometido, permitiéndole realizar transacciones, realizar retiros automáticos e incluso vaciar billeteras y saldos accesibles a través del servicio.
«En la práctica, tan pronto como el usuario navega a la página de administración de API de MEXC, la extensión inyecta un script de contenido único, script.js, y comienza a trabajar dentro de una sesión de MEXC ya autenticada», agregó Socket. Para lograr esto, la extensión verifica si la URL actual contiene la cadena «/user/openapi», que hace referencia a la página de administración de claves API.
A continuación, el script crea mediante programación una nueva clave API y garantiza que la función de retiro esté habilitada. Al mismo tiempo, desfiguran la interfaz de usuario de la página para dar a los usuarios la impresión de que los permisos de retiro están deshabilitados. Una vez que se completa el proceso de generación de las claves de acceso y privada, el script extrae ambos valores y los envía mediante una solicitud HTTPS POST a un bot de Telegram codificado bajo el control del actor de la amenaza.
Esta amenaza plantea un riesgo importante porque permanece activa mientras la clave sea válida y no sea revocada, dando al atacante acceso ilimitado a la cuenta de la víctima incluso si la extensión se desinstala del navegador Chrome.
«En efecto, los atacantes están utilizando Chrome Web Store como mecanismo de entrega, MEXC Web UI como entorno de ejecución y Telegram como canal de exfiltración», señaló Boychenko. «El resultado es una extensión patentada de robo de credenciales que apunta a las claves API de MEXC una vez que se crean y configuran con todos los privilegios».
Este ataque es posible aprovechando una sesión de navegador ya autenticada para lograr sus objetivos, eliminando la necesidad de obtener la contraseña del usuario o eludir las protecciones de autenticación.
Actualmente no está claro quién está detrás de esta operación, pero las referencias a «jorjortan142» apuntan a un identificador X del mismo nombre que enlaza con un bot de Telegram llamado SwapSushiBot. SwapSushiBot también se promociona en TikTok y YouTube. El canal de YouTube fue creado el 17 de agosto de 2025.
«Al secuestrar un único flujo de trabajo API dentro del navegador, los atacantes pueden eludir muchos controles tradicionales y obtener directamente claves API de larga duración con derechos de revocación», dijo Socket. «El mismo manual se puede aplicar fácilmente a otros intercambios, paneles de DeFi, portales de corredores y consolas web que emiten tokens durante una sesión. Las variantes futuras pueden introducir una mayor ofuscación, solicitar permisos de navegador más amplios y agrupar soporte para múltiples plataformas en una sola extensión».
Source link
