Cybersecurity-onderzoekers hebben details bekendgemaakt van een kwaadaardige Google Chrome-extensie die API-sleutels kan stelen die zijn gekoppeld aan MEXC, een gecentraliseerde cryptocurrency exchange (CEX) die beschikbaar is in meer dan 170 landen, terwijl het zich voordoet als een hulpmiddel om de handel op het platform te automatiseren.
De extensie, genaamd MEXC API Automator (ID: pppdfgkfdemgfknfnhpkibbkabhghhfh), heeft 29 downloads en is op het moment van schrijven nog steeds beschikbaar in de Chrome Web Store. Het werd voor het eerst gepubliceerd op 1 september 2025 door een ontwikkelaar genaamd “jorjortan142”.
“De extensie creëert programmatisch nieuwe MEXC API-sleutels, maakt intrekkingsrechten mogelijk, verbergt die toestemming in de gebruikersinterface (UI) en exfiltreert de resulterende API-sleutel en het geheim naar een hardgecodeerde Telegram-bot die wordt bestuurd door de bedreigingsacteur”, zei Socket-beveiligingsonderzoeker Kirill Boychenko in een analyse.
Volgens de vermelding in de Chrome Web Store wordt de add-on voor de webbrowser beschreven als een extensie die “het verbinden van uw handelsbot met de MEXC-beurs vereenvoudigt” door de API-sleutels met de nodige machtigingen op de beheerpagina te genereren, onder meer om handel en opnames te vergemakkelijken.
Door dit te doen, stelt de geïnstalleerde extensie een bedreigingsacteur in staat om elk MEXC-account te controleren waartoe toegang wordt verkregen via de gecompromitteerde browser, waardoor hij transacties kan uitvoeren, geautomatiseerde opnames kan uitvoeren en zelfs de portefeuilles en saldi leeg kan maken die via de service bereikbaar zijn.
“In de praktijk injecteert de extensie, zodra de gebruiker naar de API-beheerpagina van MEXC navigeert, een enkel inhoudsscript, script.js, en begint te werken binnen de reeds geverifieerde MEXC-sessie”, aldus Socket. Om dit te bereiken controleert de extensie of de huidige URL de tekenreeks “/user/openapi” bevat, die verwijst naar de API-sleutelbeheerpagina.
Het script creëert vervolgens programmatisch een nieuwe API-sleutel en zorgt ervoor dat de opnamemogelijkheid is ingeschakeld. Tegelijkertijd knoeit het met de gebruikersinterface van de pagina om bij de gebruiker de indruk te wekken dat de intrekkingstoestemming is uitgeschakeld. Zodra het proces voor het genereren van de toegangssleutel en de geheime sleutel is voltooid, extraheert het script beide waarden en verzendt deze naar een hardgecodeerde Telegram-bot onder controle van de bedreigingsacteur met behulp van een HTTPS POST-verzoek.
De dreiging vormt een ernstig risico, omdat deze actief blijft zolang de sleutels geldig zijn en niet worden ingetrokken, waardoor de aanvallers onbelemmerde toegang krijgen tot het account van het slachtoffer, zelfs als ze uiteindelijk de extensie uit de Chrome-browser verwijderen.
“In feite gebruikt de bedreigingsacteur de Chrome Web Store als leveringsmechanisme, de MEXC-webgebruikersinterface als uitvoeringsomgeving en Telegram als exfiltratiekanaal”, merkte Boychenko op. “Het resultaat is een speciaal gebouwde extensie voor het stelen van inloggegevens die zich richt op MEXC API-sleutels op het moment dat ze worden aangemaakt en geconfigureerd met volledige machtigingen.”
De aanval wordt mogelijk gemaakt door het feit dat er gebruik wordt gemaakt van een reeds geauthenticeerde browsersessie om zijn doelen te verwezenlijken, waardoor de noodzaak voor het verkrijgen van het wachtwoord van een gebruiker of het omzeilen van authenticatiebescherming wordt vermeden.
Het is momenteel niet duidelijk wie er achter de operatie zit, maar een verwijzing naar “jorjortan142” verwijst naar een X-handle met dezelfde naam die linkt naar een Telegram-bot genaamd SwapSushiBot, die ook wordt gepromoot op TikTok en YouTube. Het YouTube-kanaal is gemaakt op 17 augustus 2025.
“Door een enkele API-workflow in de browser te kapen, kunnen bedreigingsactoren veel traditionele controles omzeilen en direct overgaan tot langlevende API-sleutels met intrekkingsrechten”, aldus Socket. “Hetzelfde draaiboek kan gemakkelijk worden aangepast aan andere beurzen, DeFi-dashboards, makelaarsportals en elke webconsole die tokens uitgeeft tijdens sessies. Toekomstige varianten zullen waarschijnlijk zwaardere verduistering introduceren, bredere browserrechten vragen en ondersteuning voor meerdere platforms bundelen in één enkele extensie.”
