Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một tiện ích mở rộng độc hại của Google Chrome có khả năng đánh cắp API Key liên quan đến MEXC, một sàn giao dịch tiền điện tử tập trung (CEX) có mặt tại hơn 170 quốc gia, trong khi giả mạo là một công cụ tự động hóa giao dịch trên nền tảng này.
Tiện ích mở rộng có tên MEXC API Automator (ID: pppdfgkfdemgfknfnhpkibbkabhghhfh), đã có 29 lượt tải xuống và vẫn còn trên Chrome Web Store tính đến thời điểm viết bài. Nó được phát hành lần đầu vào ngày 1 tháng 9 năm 2025, bởi một nhà phát triển có tên "jorjortan142".
"Tiện ích mở rộng này tự động tạo mới các MEXC API Key, kích hoạt quyền rút tiền, ẩn quyền đó khỏi giao diện người dùng (UI) và lấy trộm API Key cùng Secret Key để gửi đến một Telegram bot được mã hóa cứng do tác nhân đe dọa kiểm soát," nhà nghiên cứu bảo mật Kirill Boychenko của Socket cho biết trong một phân tích.
Theo mô tả trên Chrome Web Store, tiện ích bổ sung cho trình duyệt web này được mô tả là một tiện ích mở rộng "đơn giản hóa việc kết nối bot giao dịch của bạn với sàn giao dịch MEXC" bằng cách tạo các API Key với các quyền cần thiết trên trang quản lý, bao gồm cả quyền hỗ trợ giao dịch và rút tiền.
Bằng cách này, tiện ích mở rộng được cài đặt cho phép tác nhân đe dọa kiểm soát bất kỳ tài khoản MEXC nào được truy cập từ trình duyệt bị xâm nhập, cho phép chúng thực hiện giao dịch, thực hiện rút tiền tự động và thậm chí rút cạn ví và số dư có thể truy cập thông qua dịch vụ.
"Trên thực tế, ngay sau khi người dùng điều hướng đến trang quản lý API của MEXC, tiện ích mở rộng sẽ chèn một script nội dung duy nhất, script.js, và bắt đầu hoạt động bên trong phiên MEXC đã được xác thực," Socket cho biết thêm. Để đạt được điều này, tiện ích mở rộng kiểm tra xem URL hiện tại có chứa chuỗi "/user/openapi" hay không, chuỗi này đề cập đến trang quản lý API Key.
Sau đó, script tự động tạo một API Key mới và đảm bảo rằng khả năng rút tiền được kích hoạt. Đồng thời, nó can thiệp vào giao diện người dùng của trang để tạo ấn tượng cho người dùng rằng quyền rút tiền đã bị tắt. Ngay sau khi quá trình tạo Access Key và Secret Key hoàn tất, script sẽ trích xuất cả hai giá trị và truyền chúng đến một Telegram bot được mã hóa cứng dưới sự kiểm soát của tác nhân đe dọa bằng cách sử dụng yêu cầu HTTPS POST.
Mối đe dọa này tiềm ẩn rủi ro nghiêm trọng, vì nó vẫn hoạt động miễn là các key còn hiệu lực và chưa bị thu hồi, cấp cho những kẻ tấn công quyền truy cập không hạn chế vào tài khoản của nạn nhân ngay cả khi họ gỡ cài đặt tiện ích mở rộng khỏi trình duyệt Chrome.
"Trên thực tế, tác nhân đe dọa sử dụng Chrome Web Store làm cơ chế phân phối, giao diện người dùng web MEXC làm môi trường thực thi và Telegram làm kênh exfiltration," Boychenko lưu ý. "Kết quả là một tiện ích mở rộng được xây dựng có mục đích để đánh cắp thông tin xác thực, nhắm mục tiêu vào MEXC API Key ngay tại thời điểm chúng được tạo và cấu hình với đầy đủ quyền."
Cuộc tấn công này trở nên khả thi nhờ vào việc nó tận dụng một phiên trình duyệt đã được xác thực để đạt được mục tiêu của mình, do đó loại bỏ nhu cầu lấy mật khẩu người dùng hoặc bỏ qua các biện pháp bảo vệ xác thực.
Hiện tại vẫn chưa rõ ai đứng sau chiến dịch này, nhưng một tham chiếu đến "jorjortan142" cho thấy một tài khoản X cùng tên liên kết đến một Telegram bot có tên SwapSushiBot, bot này cũng được quảng cáo trên TikTok và YouTube. Kênh YouTube này được tạo vào ngày 17 tháng 8 năm 2025.
"Bằng cách tấn công một luồng API duy nhất bên trong trình duyệt, các tác nhân đe dọa có thể vượt qua nhiều biện pháp kiểm soát truyền thống và trực tiếp nhắm vào các API Key tồn tại lâu dài với quyền rút tiền," Socket cho biết. "Kịch bản tương tự có thể dễ dàng được điều chỉnh cho các sàn giao dịch khác, các DeFi dashboards, cổng thông tin môi giới và bất kỳ bảng điều khiển web nào cấp token trong phiên, và các biến thể trong tương lai có khả năng giới thiệu sự che giấu nặng hơn, yêu cầu quyền trình duyệt rộng hơn và hỗ trợ nhiều nền tảng vào một tiện ích mở rộng duy nhất."
