这款名为"MEXC API Automator"（ID：pppdfgkfdemgfknfnhpkibbkabhghhfh）的扩展程序，截至发稿时在Chrome网上应用店仍可下载，已记录了29次下载。它由一位名为"jorjortan142"的开发者于2025年9月1日首次发布。

安全研究机构Socket的研究员Kirill Boychenko在一份分析报告中指出："该扩展能以编程方式创建新的MEXC API密钥、启用提款权限、在用户界面中隐藏该权限，并将生成的API密钥和密钥外泄至威胁行为者控制的一个硬编码的Telegram机器人。"

根据Chrome网上应用店的列表描述，这款网页浏览器插件被宣传为一个扩展，可通过在API管理页面上生成具有必要权限的API密钥，"简化将您的交易机器人与MEXC交易所的连接"。

如此一来，安装此扩展后，威胁行为者就能控制从受感染浏览器访问的任何MEXC账户，从而能够执行交易、进行自动提款，甚至清空通过该服务可访问的钱包和余额。

Socket补充道："实际上，一旦用户导航到MEXC的API管理页面，该扩展就会注入一个单一的内容脚本script.js，并在已认证的MEXC会话内开始操作。"为了实现这一目的，该扩展会检查当前URL是否包含字符串"/user/openapi"，该字符串指向API密钥管理页面。

随后，该脚本会以编程方式创建一个新的API密钥，并确保启用了提款功能。同时，它会篡改页面的用户界面，让用户误以为提款权限已被禁用。一旦生成访问密钥和密钥的过程完成，该脚本会提取这两个值，并通过HTTPS POST请求将它们传输到威胁行为者控制下的一个硬编码的Telegram机器人。

此威胁构成了严重风险，因为只要API密钥有效且未被撤销，它就会一直保持活跃状态，即使受害者从Chrome浏览器中卸载了该扩展，攻击者仍能不受限制地访问受害者的账户。

Boychenko指出："实质上，威胁行为者利用Chrome网上应用店作为传播渠道，利用MEXC的Web UI作为执行环境，并利用Telegram作为外泄渠道。其结果就是一个专门构建的、旨在窃取MEXC API密钥的扩展，它在API密钥被创建和配置为拥有完全权限的瞬间发起攻击。"

这种攻击之所以能够实现，是因为它利用了浏览器已通过身份验证的会话来达到其目的，从而无需获取用户密码或绕过身份验证保护。

目前尚不清楚此次攻击背后的操纵者是谁，但"jorjortan142"这个名称指向了一个同名的X平台账号，该账号链接到一个名为"SwapSushiBot"的Telegram机器人，这个机器人也在TikTok和YouTube上进行了推广。关联的YouTube频道创建于2025年8月17日。

Socket表示："通过在浏览器内劫持单个API工作流程，威胁行为者可以绕过许多传统控制措施，直接获取具有提款权限、长期有效的API密钥。同样的攻击手法可以很容易地适配到其他交易所、DeFi仪表板、经纪商门户以及任何在会话中发放令牌的Web控制台，并且未来的变种很可能会引入更重的混淆技术、请求更广泛的浏览器权限，并将支持多个平台的功能捆绑到一个扩展中。"

...