MEXC API Automatorと呼ばれる危険なChrome拡張機能が、何も知らないユーザーから暗号資産取引所の認証情報を盗んでいることが判明しました。
Socketの脅威リサーチチームは、この悪意あるツールをChromeウェブストア上で特定しましたが、セキュリティ警告があるにもかかわらず、現在も公開されたままです。
エイリアス「jorjortan142」を名乗る開発者により2025年9月1日に公開されたこの拡張機能は、MEXC暗号資産取引所での取引を自動化すると主張しています。しかし実際には、隠れた出金権限を持つAPIキーを密かに作成し、認証情報を盗み取ります。
ユーザーがMEXCのAPI管理ページにアクセスすると、この拡張機能は重要な出金オプションを含む、すべての権限チェックボックスを自動的に選択します。
その後、CSS操作によって出金権限のチェック状態を隠し、サーバー側では有効のままにしつつ、ユーザーインターフェース上では無効に見えるようにします。
ユーザーが二要素認証を完了すると、拡張機能は成功モーダルから新たに生成されたAPIキーとシークレットを抽出します。続いて、これらの認証情報を脅威アクターが管理するTelegramボットへ送信し、アカウントの完全な乗っ取りを可能にします。
攻撃者は、被害者のパスワードを必要とせず、またセキュリティ対策を回避することなく、取引の実行、ウォレットの資金流出、資金の出金が可能です。この拡張機能はブラウザ内で完全に動作するため、従来のセキュリティツールでは検知が困難です。
この手口の背後にいる脅威アクターはSwapSushiというブランド名でも活動しており、ソーシャルメディア上の存在感に加え、暗号資産スワップ用のTelegramボットも運用しています。
拡張機能のコード分析ではロシア語のコメントが確認されており、開発者はロシア語話者である可能性が高いことを示しています。MEXCは170以上の国と地域で数百万人のユーザーにサービスを提供しているため、これは世界的な暗号資産コミュニティにとって重大な脅威です。
翻訳元: https://cyberpress.org/malicious-chrome-extension-mexc-wallet-credential-theft/