Pesquisadores em cibersegurança revelaram detalhes de uma extensão maliciosa para o Google Chrome que rouba API keys de usuários da MEXC, uma exchange centralizada de criptomoedas (CEX) presente em mais de 170 países.
A extensão se apresenta como uma ferramenta para automatizar trades na plataforma.
Batizada de MEXC API Automator (ID: pppdfgkfdemgfknfnhpkibbkabhghhfh), a extensão já foi baixada 29 vezes e permanece disponível na Chrome Web Store.
Ela foi publicada em 1º de setembro de 2025 por um desenvolvedor identificado como "jorjortan142".
De acordo com o pesquisador Kirill Boychenko, da Socket, a extensão cria automaticamente novas API keys da MEXC, ativa permissões de saque, oculta essas permissões na interface do usuário e exfiltra as chaves geradas para um bot no Telegram controlado pelos criminosos.
Na descrição da Chrome Web Store, o plugin promete facilitar a conexão do bot de trading com a MEXC, gerando as chaves API com as permissões necessárias para operar e realizar saques.
Na prática, isso concede aos invasores controle total sobre qualquer conta MEXC acessada pelo navegador comprometido.
Eles podem realizar trades automáticos, efetuar saques e esvaziar carteiras e saldos vinculados ao serviço.
A extensão atua assim que o usuário acessa a página de gerenciamento de API da MEXC, identificada pela URL que contém "/user/openapi".
Ela injeta um script chamado script.js para criar e configurar a nova API key, ativando permissões de retirada sem avisar o usuário, que vê essa permissão como desativada.
Logo após, o script coleta a Access Key e a Secret Key, enviando-as para o bot no Telegram por meio de uma requisição HTTPS POST.
O risco é significativo porque a ameaça permanece ativa enquanto as chaves não forem revogadas.
Mesmo que o usuário desinstale a extensão, os invasores continuarão a ter acesso irrestrito à conta.
Boychenko destaca que os atacantes usam a Chrome Web Store como vetor de entrega, a interface da MEXC como ambiente de execução e o Telegram como canal de exfiltração.
Dessa forma, a extensão foi projetada especificamente para roubar credenciais API no momento de sua criação e configuração completas.
O ataque é possível porque explora sessões autenticadas no navegador, eliminando a necessidade de roubar senhas ou burlar autenticações tradicionais.
Ainda não se sabe quem está por trás da operação, mas o nome "jorjortan142" está ligado a um perfil no X e a um bot do Telegram chamado SwapSushiBot, que também é promovido no TikTok e no YouTube — canal criado em 17 de agosto de 2025.
A Socket alerta que, ao sequestrar um único fluxo de API no navegador, os cibercriminosos contornam muitas proteções tradicionais e acessam diretamente chaves de longa duração com permissão para saques.
Essa tática pode ser adaptada para outras exchanges, plataformas DeFi, corretoras e consoles web que emitem tokens durante sessões.
Versões futuras provavelmente terão maior obfuscação, solicitarão permissões mais amplas no navegador e oferecerão suporte a múltiplas plataformas em uma só extensão.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...