MEXC API Automator という悪意の Chrome エクステンション:仮想通貨取引所へのアクセスを窃取

Malicious Chrome Extension Steals Wallet Login Credentials and Enables Automated Trading

2026/01/13 CyberSecurityNews — MEXC API Automator と呼ばれる悪意の Chrome エクステンションは、ブラウザ・アドオンに対する信頼を悪用し、MEXC ユーザーから仮想通貨取引所へのアクセスを窃取する。このエクステンションは、トレーディングと API キー作成を自動化するツールを装い、新たに作成された API キーを密かに乗っ取る。結果として、通常のブラウザ・セッションがアカウント乗っ取りのチャネルへと変貌する。

この攻撃は、MEXC 取引所において “取引と出金アクセスが可能な簡単な API キー作成” を謳う、Chrome Web Store の正規に見えるリストから開始される。このエクステンションをインストールすると、ボットや自動取引用のキーを作成する場所である、MEXC の API 管理ページをユーザーが開いた時点でマルウェアが起動する。

その後も、このエクステンションは強力な API キーを密かに作成し、取引を開始させると同時に、ユーザーからの出金を可能にする。さらに、このプロセスにおいて標的となったユーザーには、通常どおりの MEXC インターフェイスが表示され続ける。

MEXC interface (Source - Socket.dev)
MEXC interface (Source – Socket.dev)

Socket.dev の研究者たちが、このエクステンションを検証した結果として判明したのは、明確なマルウェアの特定である。それに加えて、ハンドルネーム “jorjortan142” を用いる脅威アクターとの関連が示された。

分析によると、このコードはログイン済みの MEXC セッション内でのみ実行される。そのため、従来型のパスワード窃取は不要となる。

API オートメーションは、Chrome Web Store というブランドが、どのように信頼構築に利用されているかを示している。このエクステンションはパスワードではなく、取引と出金の双方を許可する MEXC API キーに焦点を当てている。これらのキーは長期間保存され、ボットやスクリプトで再利用されることが多いため、対話型ログインほど厳密に監視されていない。

新しいキーが、成功ポップアップに表示されると同時に、その値をエクステンションが取得し、攻撃者が管理する Telegram インフラへの流出処理を開始する。

Ai scanner detection (Source - Socket.dev)
Ai scanner detection (Source – Socket.dev)

このレポートで検証されたのは、エクステンションがブラウザ・セッションへ侵入する方式と、危険な設定を隠蔽しながら窃取したデータをバックグラウンドで送信する方式である。スキャナーによる検出では、エクステンション・コード内でSocket AI Scanner が、これらの挙動をフラグ付けしている。

感染メカニズム/UI による欺瞞/Telegram への情報流出

MEXC API Automator は、単一のコンテンツ・スクリプト “script.js” を、URL パターン “//.mexc.com/user/openapi*” に挿入する、Manifest V3 対応の Chrome エクステンションである。

前述のとおり、MEXC の API 管理ページを被害者が開くと、スクリプトは DOM の読み込み完了を待機しながら、API 作成フォームを検出する。そして、出金を含む全権限チェックボックスをプログラム的に選択する。その際に、ユーザーによる追加操作は必要とされない。

被害者を欺くために、このスクリプトはページ・スタイルを改変する。サーバ側では出金オプションが有効化されていても、UI 上では無効に見えるよう操作する。

具体的には、出金チェックボックスから “checked” クラスを削除し、挿入された CSS によりチェックマークを非表示にする。さらに、MEXC 側のコードによりクラスが復元された場合でも、MutationObserver を用いて再度クラスを削除する。

それにより、被害者は取引のみが許可されていると認識する。しかし実際には、送信されたフォームには完全な出金権限が含まれている。

取引所が新しいアクセスキー/シークレットキーを含む成功モーダルを表示すると、スクリプトは両方の値を DOM から直接取得し、バックグラウンドでハードコードされた Telegram ボットとチャット ID に送信する。

悪意のブラウザ・エクステンションにより、仮想通貨取引所の公式ツールを装い、資産を狙う手口が横行しているようです。この問題の原因は、 Chrome エクステンションが持つ、特定の Web ページの内容を自由に書き換え操作できてしまう権限の悪用にあります。具体的には、 MEXC の API 管理ページが開かれた際に、エクステンションが DOM (Web ページの構造) を操作して、ユーザーが気づかないうちに “出金権限” にチェックを入れ、さらには、画面表示を書き換えてチェックが入っていないように見せかけるという、巧妙な UI 偽装が行われていました。こうして作成された、強力な権限を持つ API キーは、そのまま Telegram 経由で攻撃者のもとへ送信されていました。エクステンションにおける問題が懸念されています。よろしければ、Extension での検索結果も、ご参照ください。