Trading sul ghiaccio sottile: un’estensione Chrome malevola saccheggia account crypto tramite chiavi API MEXC
Sottotitolo: Un’estensione del browser canaglia si spaccia per uno strumento di trading mentre, in segreto, sottrae credenziali potenti a ignari utenti crypto.
Tutto è iniziato come una promessa di facile automazione: un’estensione Chrome che avrebbe aiutato i trader di criptovalute a collegare bot al popolare exchange MEXC. Ma per una manciata di utenti, questa comodità si è trasformata in una trappola costosa. Dietro la facciata curata di “MEXC API Automator” si nascondeva un’operazione di furto di credenziali, che esfiltrava silenziosamente le chiavi digitali in grado di sbloccare interi portafogli crypto. Mentre i cybercriminali passano dalle email di phishing agli attacchi basati sul browser, il confine tra app utile e spia malevola diventa pericolosamente sottile.
L’anatomia di un colpo
Gli investigatori di Socket hanno scoperto l’estensione, pubblicata da uno sviluppatore che si faceva chiamare “jorjortan142”. In superficie, offriva di automatizzare il trading generando chiavi API per gli utenti-un flusso di lavoro comune per collegare bot agli exchange. Ma sotto il cofano, l’estensione metteva in atto un classico bait-and-switch. Quando un utente visitava la pagina di gestione delle API di MEXC, l’estensione iniettava uno script che creava silenziosamente una nuova chiave API, abilitava i diritti di prelievo e rendeva invisibile questa pericolosa autorizzazione nell’interfaccia utente.
Una volta generate la chiave API e il segreto, l’estensione li trasmetteva-all’insaputa della vittima-direttamente a un bot Telegram sotto il controllo dell’attaccante. Queste credenziali concedono un controllo quasi illimitato sull’account della vittima: trading, prelievi e accesso a qualsiasi wallet o saldo collegato a MEXC. Anche disinstallare l’estensione non può revocare l’accesso dell’attaccante se le chiavi API restano valide.
L’attacco è particolarmente insidioso perché si appoggia a una sessione in cui l’utente è già autenticato. Nessun furto di password, nessun pop-up di phishing-solo un dirottamento silenzioso del flusso di lavoro di cui gli utenti si fidano. Il Chrome Web Store, ironicamente pensato come guardiano delle estensioni sicure, è diventato il veicolo di consegna di questo cavallo di Troia.
Tracciando l’operazione, i ricercatori hanno trovato collegamenti tra il nome dello sviluppatore dell’estensione e un bot Telegram, e persino promozioni sui social media su TikTok e YouTube-suggerendo una campagna coordinata per attirare vittime. Sebbene siano stati registrati solo 29 download, il modello è ormai in circolazione, pronto per essere adattato ad altri exchange o piattaforme.
Riflessioni: un avvertimento per la frontiera crypto
Questo incidente è un monito severo sia per gli utenti sia per gli operatori delle piattaforme: le estensioni del browser esercitano un potere enorme, soprattutto quando possono interagire con sessioni web sensibili. Man mano che gli attaccanti innovano oltre il phishing, spetta agli utenti esaminare con attenzione ogni strumento che installano-e agli operatori di browser ed exchange individuare e bloccare più rapidamente minacce di questo tipo. Nel mondo ad alta posta in gioco delle criptovalute, la comodità può avere un costo catastrofico.
WIKICROOK
- Chiave API: Una chiave API è un codice univoco che consente ai programmi di accedere a dati o servizi. Se non adeguatamente protetta, può rappresentare un rischio per la cybersicurezza.
- Estensione Chrome: Un’estensione Chrome è un piccolo componente aggiuntivo per Google Chrome che aggiunge nuove funzionalità, personalizza il browser o si integra con altri servizi.
- Esfiltrazione: L’esfiltrazione è il trasferimento non autorizzato di dati sensibili dalla rete di una vittima a un sistema esterno controllato dagli attaccanti.
- Sessione del browser: Una sessione del browser è il periodo attivo in cui un utente è connesso e autenticato su un sito web tramite il proprio browser.
- Cavallo di Troia: Un cavallo di Troia è un software malevolo camuffato da innocuo, che consente agli attaccanti di accedere a computer o reti e potenzialmente rubare dati o causare danni.




