Investigadores de ciberseguridad han revelado detalles de una extensión maliciosa de Google Chrome capaz de robar claves API de MEXC, un intercambio centralizado de criptomonedas (CEX) disponible en más de 170 países, mientras se hace pasar por una herramienta para automatizar el comercio en la plataforma.
La extensión, llamada MEXC API Automator (ID: pppdfgkfdemgfknfnhpkibbkabhghhfh), tiene 29 descargas y todavía está disponible en Chrome Web Store al momento de escribir este artículo. Fue lanzado por primera vez el 1 de septiembre de 2025 por un desarrollador llamado “jorjortan142”.
“La extensión crea mediante programación nuevas claves API MEXC, habilita permisos de retiro, oculta estos permisos en la interfaz de usuario (UI) y filtra la clave API resultante y el secreto a un bot de Telegram codificado controlado por el actor de amenazas”, dijo el investigador de seguridad de Socket Kirill Boychenko en un análisis.
Según el listado de Chrome Web Store, el complemento del navegador web se describe como una extensión que “facilita la conexión de su robot comercial al intercambio MEXC” al generar las claves API con los permisos necesarios en la página de administración, entre otras cosas, para facilitar las operaciones y los retiros.
De esta manera, la extensión instalada permite a un actor de amenazas controlar cualquier cuenta MEXC a la que se acceda a través del navegador comprometido, permitiéndole ejecutar operaciones, realizar retiros automáticos e incluso vaciar las billeteras y saldos accesibles a través del servicio.
“En la práctica, una vez que el usuario navega a la página de administración de API de MEXC, la extensión inserta un script de contenido único, script.js, y comienza a trabajar dentro de la sesión de MEXC ya autenticada”, agregó Socket. Para lograr esto, la extensión verifica si la URL actual contiene la cadena “/user/openapi”, que apunta a la página de administración de claves API.
Luego, el script crea mediante programación una nueva clave API y garantiza que la función de retiro esté habilitada. Al mismo tiempo, manipula la interfaz del sitio para darle al usuario la impresión de que se ha desactivado el permiso de retiro. Una vez que se completa el proceso de generación de la clave de acceso y la clave secreta, el script extrae ambos valores y los transmite mediante una solicitud HTTPS POST a un bot de Telegram codificado bajo el control del actor de la amenaza.
La amenaza supone un grave riesgo ya que permanece activa mientras las claves sean válidas y no sean revocadas, dando a los atacantes acceso total a la cuenta de la víctima incluso si acaban desinstalando la extensión del navegador Chrome.
“De hecho, el actor de amenazas utiliza Chrome Web Store como mecanismo de entrega, la interfaz de usuario web de MEXC como entorno de ejecución y Telegram como canal de exfiltración”, señaló Boychenko. “El resultado es una extensión de robo de credenciales especialmente diseñada que apunta a las claves API de MEXC en el momento en que se crean y configuran con permisos completos”.
El ataque se habilita aprovechando una sesión de navegador ya autenticada para lograr sus objetivos, eliminando la necesidad de obtener la contraseña de un usuario o eludir las protecciones de autenticación.
Actualmente no está claro quién está detrás de la operación, pero una referencia a “jorjortan142” apunta a un identificador X del mismo nombre, que apunta a un bot de Telegram llamado SwapSushiBot, que también se promociona en TikTok y YouTube. El canal de YouTube fue creado el 17 de agosto de 2025.
“Al adoptar un flujo de trabajo API único en el navegador, los actores de amenazas pueden eludir muchos controles tradicionales y acceder directamente a claves API de larga duración con derechos de revocación”, dijo Socket. “El mismo manual se puede adaptar fácilmente a otros intercambios, paneles de DeFi, portales de corredores y cualquier consola web que emita tokens en sesión, y las variantes futuras probablemente introducirán una mayor ofuscación, requerirán permisos de navegador más amplios y agruparán soporte multiplataforma en una sola extensión”.
About The Author
