Tiện ích mở rộng Chrome độc hại MEXC API Automator bị cáo buộc đánh cắp API key mới tạo của người dùng sàn MEXC và gửi về bot Telegram do kẻ tấn công kiểm soát, có thể dẫn tới chiếm quyền tài khoản và rút tài sản.
Theo Socket Threat Research Team, tiện ích này đã xuất hiện trên Chrome Web Store từ ngày 01/09/2025 và giả mạo tính năng tự động hóa giao dịch để dụ người dùng. Nhóm nghiên cứu cho biết đã báo cho Google và gắn cờ tiện ích, nhưng tại thời điểm công bố, nó vẫn có thể tải về.
- MEXC API Automator bị cáo buộc đánh cắp API key MEXC và gửi qua Telegram.
- Tự tạo API key có quyền rút tiền, ẩn quyền này khỏi giao diện người dùng.
- Nguy cơ bị chiếm quyền tài khoản: giao dịch, rút tự động, chuyển tài sản nội bộ.
Tiện ích mở rộng bị cáo buộc làm gì?
Socket Threat Research Team cho biết MEXC API Automator có thể lấy cắp API key MEXC mới tạo và chuyển dữ liệu sang một bot Telegram của kẻ tấn công.
Theo mô tả, tiện ích dùng mồi nhử tự động hóa giao dịch, sau đó tự động tạo MEXC API key với quyền rút tiền mà người dùng không biết. Quyền rút tiền này còn bị ẩn khỏi giao diện, khiến người dùng khó phát hiện cấu hình nguy hiểm ngay khi API key được tạo.
Sau khi tạo, tiện ích bị cáo buộc làm rò rỉ API key cùng dữ liệu đã mã hóa liên quan. Khi nắm được khóa, kẻ tấn công có thể kiểm soát đầy đủ tài khoản MEXC của nạn nhân để thực thi giao dịch, kích hoạt rút tiền tự động và chuyển tài sản trong tài khoản.
Tình trạng hiện tại và hành động đã được thực hiện
Tại thời điểm báo cáo được công bố ngày 14/01, tiện ích vẫn còn xuất hiện để tải xuống trên Chrome Web Store.
Nhóm nghiên cứu cho biết họ đã thông báo cho Google và gắn cờ tiện ích. Báo cáo nêu rõ tiện ích đã có mặt trên Chrome Web Store từ ngày 01/09/2025, cho thấy khoảng thời gian tồn tại kéo dài trước khi bị phát hiện và báo cáo chính thức.
