Des chercheurs en cybersécurité ont révélé les détails d'une extension malveillante de Google Chrome capable de voler les clés API associées à MEXC, un échange centralisé de crypto-monnaie (CEX) disponible dans plus de 170 pays, se présentant comme un outil pour automatiser les échanges sur la plateforme.
L'extension, appelée MEXC API Automator (ID : pppdfgkfdemgfknfnhpkibbkabhghhfh), compte 29 téléchargements et est toujours disponible dans le Chrome Web Store au moment d'écrire ces lignes. Il a été publié pour la première fois le 1er septembre 2025 par un développeur nommé « jorjortan142 ».
“L'extension crée par programme de nouvelles clés API MEXC, active les autorisations de retrait, masque cette autorisation dans l'interface utilisateur (UI) et divulgue la clé API et le secret résultants à un robot Telegram crypté contrôlé par l'acteur menaçant”, a déclaré Kirill Boychenko, chercheur en sécurité chez Socket, dans une analyse.
Selon la liste du Chrome Web Store, le module complémentaire du navigateur Web est décrit comme une extension qui « simplifie la connexion de votre robot de trading à la bourse MEXC » en générant des clés API avec les autorisations nécessaires sur la page d'administration, notamment pour faciliter les échanges et les retraits.
Ce faisant, l'extension installée permet à un acteur malveillant de prendre le contrôle de n'importe quel compte MEXC accessible à partir du navigateur compromis, lui permettant d'exécuter des transactions, d'effectuer des retraits automatiques et même des portefeuilles et soldes vides accessibles via le service.
“En pratique, dès que l'utilisateur accède à la page de gestion de l'API MEXC, l'extension injecte un seul script de contenu, script.js, et commence à fonctionner au sein de la session MEXC déjà authentifiée”, a ajouté Socket. Pour y parvenir, l'extension vérifie si l'URL actuelle contient la chaîne “/user/openapi”, qui fait référence à la page de gestion des clés API.
Le script crée ensuite par programme une nouvelle clé API et garantit que la fonctionnalité de retrait est activée. En même temps, il modifie l'interface utilisateur de la page pour donner à l'utilisateur l'impression que l'autorisation de retrait a été désactivée. Dès que le processus de génération de la clé d'accès et de la clé secrète est terminé, le script extrait les deux valeurs et les transmet à un robot Telegram crypté sous le contrôle de l'acteur menaçant via une requête HTTPS POST.
La menace représente un risque sérieux car elle reste active tant que les clés sont valides et ne sont pas révoquées, accordant aux attaquants un accès illimité au compte de la victime même s'ils finissent par désinstaller l'extension du navigateur Chrome.
“En effet, l'auteur de la menace utilise le Chrome Web Store comme mécanisme de livraison, l'interface utilisateur Web MEXC comme environnement d'exécution et Telegram comme canal d'exfiltration”, a déclaré Boychenko. “Le résultat est une extension de vol d'informations d'identification spécialement conçue qui cible les clés API MEXC au moment où elles sont créées et configurées avec toutes les autorisations.”
L'attaque est rendue possible par le fait qu'elle exploite une session de navigateur déjà authentifiée pour atteindre ses objectifs, évitant ainsi d'avoir besoin d'obtenir le mot de passe d'un utilisateur ou de contourner les protections d'authentification.
On ne sait pas actuellement qui est derrière l'opération, mais une référence à « jorjortan142 » pointe vers un identifiant X du même nom qui renvoie à un robot Telegram appelé SwapSushiBot, qui est également promu sur TikTok et YouTube. La chaîne YouTube a été créée le 17 août 2025.
“En détournant un seul flux de travail API dans le navigateur, les acteurs malveillants peuvent contourner de nombreux contrôles traditionnels et accéder directement à des clés API de longue durée avec des droits de retrait”, a déclaré Socket. “Le même manuel peut facilement être adapté à d'autres échanges, aux tableaux de bord DeFi, aux portails de courtiers et à toute console Web qui émet des jetons en session, et les variantes futures sont susceptibles d'introduire une plus grande obscurcissement, d'exiger des autorisations de navigateur plus larges et de regrouper la prise en charge de plusieurs plates-formes dans une seule extension. “