Компания Trust Wallet признала, что вторая волна атаки на цепочку поставок Shai-Hulud (она же Sha1-Hulud), прокатившаяся в ноябре 2025 года, скорее всего, стала причиной взлома её расширения для Google Chrome. В результате злоумышленники похитили около $8,5 млн в криптоактивах.
Как произошёл взлом
По данным разбора инцидента, опубликованного компанией во вторник, атака началась с утечки секретов разработчиков в GitHub. Через них хакеры получили доступ к исходному коду браузерного расширения и к API-ключу Chrome Web Store (CWS). Обладая полным доступом к CWS API, злоумышленник смог загружать сборки в обход стандартного процесса релиза Trust Wallet, который требует внутреннего согласования и ручной проверки.
Далее атакующий зарегистрировал домен metrics-trustwallet.com и опубликовал троянизированную версию расширения — 2.68 — со встроенным бэкдором, который собирал у пользователей мнемонические seed-фразы кошельков и отправлял их на поддомен api.metrics-trustwallet.com.
Что обнаружили исследователи
По данным компании Koi, вредоносный код срабатывал при каждой разблокировке кошелька, а не только при импорте seed-фразы: данные утекали независимо от того, использовал ли жертва пароль или биометрию, и вне зависимости от того, пользовался ли человек расширением месяцами или открыл его лишь однажды после обновления до версии 2.68.
«Код проходит по всем кошелькам в аккаунте пользователя, а не только по активному. Если у вас было настроено несколько кошельков, скомпрометированы оказывались все», — рассказали исследователи Орен Йомтов и Юваль Ронен. По их словам, seed-фразы вставлялись в поле errorMessage внутри данных, замаскированных под обычную телеметрию разблокировки, — при беглом просмотре кода это выглядело как рядовое событие аналитики с метаданными об ошибке.
Домен metrics-trustwallet.com указывал на IP-адрес 138.124.70.40, размещённый у хостинг-провайдера Stark Industries Solutions — так называемого «пуленепробиваемого» хостинга, зарегистрированного в Великобритании в феврале 2022 года, всего за две недели до полномасштабного вторжения России в Украину. У этого провайдера есть история содействия российским государственным кибероперациям, а также другой киберпреступной деятельности.
Любопытная деталь: при прямом обращении к серверу тот возвращал фразу «He who controls the spice controls the universe» — отсылку к «Дюне», перекликающуюся с похожими пасхалками в инциденте с npm-версией Shai-Hulud. Заголовок Last-Modified показал, что инфраструктура была подготовлена ещё к 8 декабря — более чем за две недели до публикации вредоносного обновления 24 декабря. «Это была не спонтанная атака, а спланированная операция», — отметили в Koi.
Масштаб ущерба и реакция компании
Раскрытие деталей последовало спустя несколько дней после того, как Trust Wallet призвала около миллиона пользователей своего расширения для Chrome обновиться до версии 2.69 — после того как 24 декабря 2025 года неизвестные злоумышленники выложили в магазин расширений вредоносную версию 2.68.
В итоге инцидент привёл к выводу $8,5 млн в криптоактивах с 2520 адресов кошельков как минимум на 17 адресов, контролируемых атакующим. О первых случаях опустошения кошельков публично сообщили уже на следующий день после публикации вредоносного обновления.
Trust Wallet запустила процесс подачи заявок на возмещение ущерба пострадавшим. Компания уточнила, что рассмотрение заявок продолжается и ведётся индивидуально по каждому случаю, а сроки обработки могут различаться — нужно отделить реальных жертв от мошенников и защититься от попыток злоупотребления компенсациями. Чтобы предотвратить повторение подобных инцидентов, компания внедрила дополнительный мониторинг и усилила контроль над процессом релизов.
«Sha1-Hulud стала атакой на цепочку поставок общеотраслевого масштаба, затронувшей компании из разных секторов, а не только крипто-индустрию, — заявили в Trust Wallet. — Вредоносный код внедрялся и распространялся через широко используемые инструменты разработчиков, что позволило атакующим получить доступ через доверенные программные зависимости, а не атаковать организации напрямую».
Shai-Hulud 3.0 уже в деле
Раскрытие инцидента с Trust Wallet совпало с появлением новой версии кампании — Shai-Hulud 3.0, отличающейся усиленной обфускацией и повышенной надёжностью. Исследователи Upwind Гай Гилад и Моше Хассан отметили, что главные изменения касаются обфускации строк, обработки ошибок и совместимости с Windows — все они направлены на увеличение продолжительности жизни кампании, а не на внедрение принципиально новых методов эксплуатации. Кампания по-прежнему сфокусирована на краже секретов с машин разработчиков.
Источник: The Hacker News.