كشف باحثون في مجال الأمن السيبراني عن تفاصيل إضافة خبيثة لمتصفح جوجل كروم قادرة على سرقة مفاتيح API الخاصة بمنصة MEXC المركزية للعملات الرقمية، حيث تتنكر الإضافة كأداة لأتمتة التداول.
وتستهدف هذه البرمجية الخبيثة المستخدمين من خلال إيهامهم بأنها أداة مساعدة، بينما تقوم في الخلفية بإنشاء مفاتيح وصول تسمح للمهاجمين بالتحكم الكامل في الحسابات وسرقة الأموال.
ما هي تفاصيل إضافة MEXC API Automator الخبيثة؟
تم تحديد الإضافة الضارة تحت اسم "MEXC API Automator"، ورغم خطورتها الشديدة، إلا أنها لا تزال متاحة في متجر كروم الإلكتروني وقت كتابة هذا التقرير.
وحسب البيانات المتوفرة، فقد تم نشر هذه الإضافة لأول مرة في 1 سبتمبر 2025، وقد قام بتثبيتها عدد من المستخدمين قبل اكتشاف نشاطها المشبوه.
تفاصيل الإضافة التقنية:
- الاسم: MEXC API Automator
- المعرف: pppdfgkfdemgfknfnhpkibbkabhghhfh
- المطور: jorjortan142
- الهدف: سرقة مفاتيح API مع صلاحيات السحب
ويحذر فريق تيكبامين المستخدمين من تحميل أي أدوات تداول غير موثقة، حيث تعتمد هذه الإضافة على خداع المستخدم عبر وصف مزيف يدعي تبسيط ربط روبوتات التداول بمنصة MEXC.
كيف تسرق الإضافة أموال المتداولين؟
تعمل الإضافة بآلية خبيثة ومعقدة بمجرد تثبيتها على المتصفح، حيث تبدأ نشاطها فور دخول المستخدم إلى صفحة إدارة API في حسابه على منصة MEXC.
وأوضح الباحثون الأمنيون أن الإضافة تقوم بحقن كود برمجي (script.js) يعمل داخل الجلسة الموثقة للمستخدم، مما يسمح لها بتنفيذ أوامر نيابة عنه دون علمه.
خطوات الهجوم كما رصدها الخبراء:
- التحقق من الرابط الحالي للتأكد من تواجد المستخدم في صفحة إدارة المفاتيح (/user/openapi).
- إنشاء مفتاح API جديد برمجياً وبشكل تلقائي.
- تفعيل خيار "أذونات السحب" (Withdrawal Permissions) للمفتاح الجديد.
- التلاعب بواجهة المستخدم (UI) لإخفاء هذه الأذونات، مما يجعل المستخدم يظن أن السحب معطل.
- إرسال مفتاح الوصول (Access Key) والمفتاح السري (Secret Key) إلى بوت تيليجرام يسيطر عليه المهاجم.
ما هي خطورة سرقة مفاتيح API؟
تكمن الخطورة الكبرى في هذا النوع من الهجمات في أن المهاجم يحصل على صلاحيات كاملة للتصرف في حساب الضحية عن بعد.
بمجرد وصول المفاتيح إلى المهاجم، يمكنه:
- تنفيذ عمليات تداول بيع وشراء عشوائية.
- سحب الأموال والعملات الرقمية إلى محافظ خارجية.
- تفريغ المحفظة بالكامل دون الحاجة لكلمة مرور الحساب أو رمز التحقق الثنائي (2FA) لأن المفتاح يملك الصلاحيات بالفعل.
كيف تحمي نفسك من إضافات الكريبتو الخبيثة؟
يشير تقرير تيكبامين إلى أن الخطر يظل قائماً حتى بعد حذف الإضافة من المتصفح، وذلك لأن مفاتيح API التي تم إنشاؤها تظل صالحة للعمل ما لم يتم إلغاؤها يدوياً من داخل المنصة.
لذا، يجب على أي مستخدم قام بتثبيت إضافات مشابهة مؤخراً التحقق فوراً من سجل مفاتيح API في حسابه وحذف أي مفاتيح غير معروفة.
يستخدم المهاجمون متجر كروم كمنصة للتوزيع، ومنصة MEXC كبيئة للتنفيذ، وتيليجرام كقناة لتهريب البيانات، مما يشكل سلسلة هجوم متكاملة تستغل ثقة المستخدمين في الأدوات المتاحة رسمياً.
