Исследователи безопасности из компании Socket, в частности Кирилл Бойченко, обнаружили вредоносное расширение для браузера Google Chrome, нацеленное на клиентов централизованной криптовалютной биржи MEXC. Данная торговая платформа обслуживает пользователей более чем в 170 странах, что делает угрозу глобальной. Вредоносное ПО маскируется под инструмент для автоматизации торговли, однако его скрытая функция заключается в краже API-ключей, что предоставляет злоумышленникам полный контроль над активами жертв.
Вредоносная программа распространяется под названием «MEXC API Automator» и имеет уникальный идентификатор расширения
Механизм атаки активируется, когда пользователь переходит на страницу управления API в веб-интерфейсе биржи. Вредоносный скрипт отслеживает URL-адреса и начинает действовать при обнаружении строки
После активации расширение внедряет контент-скрипт
Скомпрометированные данные, а именно Access Key (ключ доступа) и Secret Key (секретный ключ), немедленно эксфильтруются. Передача украденной информации осуществляется через HTTPS POST-запрос напрямую в жестко закодированный Telegram-бот, контролируемый злоумышленниками. Получив эти данные, хакеры приобретают возможность совершать сделки, выполнять автоматический вывод средств и полностью опустошать кошельки, привязанные к сервису.
Риск классифицируется как серьезный, поскольку угроза сохраняется даже после удаления вредоносного расширения из браузера. Созданные API-ключи остаются валидными и активными до тех пор, пока пользователь вручную их не аннулирует через настройки биржи. Это обеспечивает злоумышленникам длительный доступ к счету жертвы, независимо от наличия ПО на компьютере пользователя.
Анализ цифрового следа указывает на то, что за атакой стоит лицо или группа под псевдонимом «jorjortan142». Этот никнейм совпадает с именем разработчика в магазине Chrome. Дальнейшее расследование выявило присутствие злоумышленника в социальной сети X (ранее Twitter) и Telegram, где распространяются ссылки на бот с именем SwapSushiBot. Продвижение вредоносного инструмента также ведется через платформы TikTok и YouTube; канал на YouTube, связанный с этой активностью, был создан 17 августа 2025 года.
Исследователь Кирилл Бойченко охарактеризовал данную угрозу как «специально созданное расширение для кражи учетных данных». Эксперты предупреждают, что использованный метод перехвата рабочего процесса API создает универсальный сценарий атаки, который легко адаптируется для других бирж, DeFi-панелей и брокерских порталов. Прогнозируется появление новых вариантов подобных угроз с усиленной обфускацией кода, запросами более широких прав доступа в браузере и поддержкой нескольких платформ в рамках одного расширения.
Изображение носит иллюстративный характер
Вредоносная программа распространяется под названием «MEXC API Automator» и имеет уникальный идентификатор расширения
pppdfgkfdemgfknfnhpkibbkabhghhfh. Разработчиком указан пользователь с ником «jorjortan142». Расширение было опубликовано в Chrome Web Store 1 сентября 2025 года и на момент написания данного отчета все еще доступно для установки. В описании утверждается, что утилита «упрощает подключение вашего торгового бота к бирже MEXC», однако, несмотря на малое количество загрузок (29 скачиваний), она представляет критическую угрозу безопасности. Механизм атаки активируется, когда пользователь переходит на страницу управления API в веб-интерфейсе биржи. Вредоносный скрипт отслеживает URL-адреса и начинает действовать при обнаружении строки
"/user/openapi". Для осуществления мошеннических действий расширение использует уже аутентифицированную сессию браузера пользователя, что позволяет обходить стандартные процедуры ввода паролей и двухфакторной аутентификации на этапе создания ключей. После активации расширение внедряет контент-скрипт
script.js, который программно создает новые API-ключи MEXC. Ключевой особенностью атаки является то, что вредоносный код специально включает права на вывод средств (withdrawal permissions). Чтобы пользователь не заметил подмены, скрипт манипулирует интерфейсом страницы, визуально скрывая активированную опцию вывода средств и создавая иллюзию, что эта функция отключена. Скомпрометированные данные, а именно Access Key (ключ доступа) и Secret Key (секретный ключ), немедленно эксфильтруются. Передача украденной информации осуществляется через HTTPS POST-запрос напрямую в жестко закодированный Telegram-бот, контролируемый злоумышленниками. Получив эти данные, хакеры приобретают возможность совершать сделки, выполнять автоматический вывод средств и полностью опустошать кошельки, привязанные к сервису.
Риск классифицируется как серьезный, поскольку угроза сохраняется даже после удаления вредоносного расширения из браузера. Созданные API-ключи остаются валидными и активными до тех пор, пока пользователь вручную их не аннулирует через настройки биржи. Это обеспечивает злоумышленникам длительный доступ к счету жертвы, независимо от наличия ПО на компьютере пользователя.
Анализ цифрового следа указывает на то, что за атакой стоит лицо или группа под псевдонимом «jorjortan142». Этот никнейм совпадает с именем разработчика в магазине Chrome. Дальнейшее расследование выявило присутствие злоумышленника в социальной сети X (ранее Twitter) и Telegram, где распространяются ссылки на бот с именем SwapSushiBot. Продвижение вредоносного инструмента также ведется через платформы TikTok и YouTube; канал на YouTube, связанный с этой активностью, был создан 17 августа 2025 года.
Исследователь Кирилл Бойченко охарактеризовал данную угрозу как «специально созданное расширение для кражи учетных данных». Эксперты предупреждают, что использованный метод перехвата рабочего процесса API создает универсальный сценарий атаки, который легко адаптируется для других бирж, DeFi-панелей и брокерских порталов. Прогнозируется появление новых вариантов подобных угроз с усиленной обфускацией кода, запросами более широких прав доступа в браузере и поддержкой нескольких платформ в рамках одного расширения.
