Trust Wallet reveló el martes que un segundo brote en la cadena de suministro Shai Huld (también conocido como Sha1 Huld) en noviembre de 2025 fue probablemente responsable del pirateo de su extensión de Google Chrome, lo que finalmente resultó en el robo de aproximadamente 8,5 millones de dólares en activos.
«Este ataque expuso los secretos de nuestro desarrollador GitHub, permitiendo al atacante acceder al código fuente de la extensión de nuestro navegador y a las claves API de Chrome Web Store (CWS)», dijo la compañía en una autopsia publicada el martes.
«A través de las claves comprometidas, el atacante obtuvo acceso completo a la API de CWS y pudo cargar compilaciones directamente sin pasar por el proceso de lanzamiento estándar de Trust Wallet, que requiere aprobaciones internas y revisiones manuales».
Luego, los atacantes supuestamente registraron el dominio «metrics-trustwallet(.)com» y enviaron una versión troyanizada de la extensión con una puerta trasera que podía recopilar frases mnemónicas de la billetera de los usuarios en el subdominio «api.metrics-trustwallet(.)com».
Esta divulgación se produce días después de que Trust Wallet instara a aproximadamente 1 millón de usuarios de su extensión de Chrome a actualizar a la versión 2.69 después de que un actor de amenazas desconocido enviara una actualización maliciosa (versión 2.68) al mercado de extensiones del navegador el 24 de diciembre de 2025.
El incidente de seguridad finalmente resultó en la exfiltración de $8,5 millones en activos de criptomonedas de 2.520 direcciones de billetera a 17 direcciones de billetera controladas por los atacantes. La primera actividad de exfiltración de billetera se informó públicamente el día después de la actualización maliciosa.
Desde entonces, Trust Wallet ha iniciado un proceso de recurso para las víctimas afectadas. La compañía dijo que su revisión de los reclamos presentados está en curso y se manejará caso por caso. También enfatizó que los tiempos de procesamiento pueden variar de un caso a otro, ya que es necesario diferenciar a las víctimas de los actores maliciosos y se requiere protección adicional contra el fraude.
Para evitar que vuelva a ocurrir una infracción de este tipo, Trust Wallet dijo que ha implementado monitoreo y controles adicionales relacionados con el proceso de liberación.
«Sha1-Hulud fue un ataque a la cadena de suministro de software en toda la industria que afectó a empresas de múltiples sectores, incluidas, entre otras, las criptomonedas», dijo la compañía. «Esto implicó la introducción y distribución de código malicioso a través de herramientas de desarrollo de uso común, lo que permitió a los atacantes obtener acceso a través de dependencias de software confiables en lugar de apuntar directamente a organizaciones individuales».
La divulgación de Trust Wallet coincide con la llegada de Shai-Hulud 3.0, que ha mejorado la ofuscación y la confiabilidad, pero aún se enfoca en robar secretos de las máquinas de los desarrolladores.
«Las principales diferencias están en la ofuscación de cadenas, el manejo de errores y la compatibilidad con Windows, todo lo cual tiene como objetivo extender la vida útil de las campañas en lugar de introducir nuevas técnicas de explotación», dijeron los investigadores de Upwind Guy Gilad y Moshe Hassan.
Source link
