Разработчики популярного криптокошелька Trust Wallet связали декабрьскую компрометацию своего Chrome-расширения с масштабной вредоносной кампанией Shai-Hulud, которая затронула экосистему npm еще в ноябре 2025 года. Атаки червя скомпрометировали более 800 пакетов, а жертвами стали тысячи разработчиков по всему миру.
В конце декабря 2025 года браузерное расширение кошелька Trust Wallet было скомпрометировано. Как выяснилось, проблема была связана с версией 2.68, выпущенной 24 декабря — она оказалась вредоносной.
Злоумышленники добавили вредоносный файл в эту версию расширения, который похищал конфиденциальные данные кошельков, позволяя совершать несанкционированные транзакции. В итоге при расследовании инцидента было выявлено 2520 адресов кошельков пострадавших, а сумма украденных активов оценивается в 8,5 млн долларов.
Как объяснили представители Trust Wallet, взлом стал возможен из-за того, что GitHub-аккаунт одного из разработчиков был скомпрометирован в ходе атаки, что дало хакерам доступ к исходному коду браузерного расширения и API-ключу Chrome Web Store.
Получив полный доступ к CWS API через украденный ключ, атакующие получили возможность загружать сборки напрямую в магазин расширений, минуя стандартный процесс релизов Trust Wallet, который требует внутреннего одобрения и ручной проверки.
На следующем этапе хакеры зарегистрировали домен metrics-trustwallet[.]com и поддомен api.metrics-trustwallet[.]com для размещения вредоносного кода. Позже их использовала зараженная версия расширения.
«С высокой степенью уверенности мы предполагаем, что инцидент с расширением был связан с масштабной атакой Sha1-Hulud в ноябре. Мы считаем, что это позволило злоумышленникам получить доступ к исходному коду расширения для браузера и ключу API Chrome Web Store. Используя этот доступ, они сумели подготовить модифицированную версию расширения с бэкдором, предназначенным для сбора конфиденциальных данных кошельков пользователей, и выпустить вредоносную версию в Chrome Web Store, используя утекший ключ API (CWS)», — сообщили разработчики.
Trust Wallet уже начала компенсировать пострадавшим убытки. При этом в компании предупредили, что в настоящее время злоумышленники могут выдавать себя за поддержку Trust Wallet и рассылать пользователям фальшивые формы для получения компенсаций, также рекламируя такой скам через Telegram.
Напомним, что червь Shai-Hulud (он же Sha1-Hulud) ответственен за массовую атаку на цепочку поставок, нацеленную на npm.
В начале сентября, во время первой волны Shai-Hulud, хакеры скомпрометировали свыше 180 npm-пакетов, используя самораспространяющийся пейлоад. С его помощью они похищали секреты разработчиков и API-ключи (используя для этого инструмент TruffleHog).
Вторая волна атак стала более масштабной и затронула более 800 пакетов. Атакующие добавили в npm более 27 000 вредоносных пакетов, которые использовали малварь для сбора секретов разработчиков и CI/CD-систем, а затем публиковали собранные данные на GitHub.
По подсчетам исследователей, в общей сложности Shai-Hulud раскрыл около 400 000 секретов и опубликовал украденные данные в более чем 30 000 репозиториях на GitHub.
