Trust Wallet reveló el martes que la segunda iteración del brote de la condena de suministro de Shai-Hulud (igualmente conocido como Sha1-Hulud) en noviembre de 2025 fue probablemente responsable del pirateo de su extensión de Google Chrome, lo que finalmente resultó en el robo de aproximadamente $8,5 millones en activos.
“Nuestros secretos de desarrollador GitHub quedaron expuestos en el ataque, lo que le dio al atacante golpe al código fuente de la extensión de nuestro navegador y a la secreto API de Chrome Web Store (CWS)”, dijo la compañía en una necroscopía publicada el martes.
“El atacante obtuvo golpe completo a la API de CWS a través de la secreto filtrada, lo que permitió que las compilaciones se cargaran directamente sin el proceso de dispersión normalizado de Trust Wallet, que requiere aprobación interna/revisión manual”.
Después, se dice que el atacante registró el dominio “metrics-trustwallet(.)com” y envió una traducción troyanizada de la extensión con una puerta trasera que es capaz de compendiar frases mnemónicas de la billetera de los usuarios en el subdominio “api.metrics-trustwallet(.)com”.
La divulgación se produce días luego de que Trust Wallet instó a cerca de de un millón de usuarios de su extensión de Chrome a desempolvar a la traducción 2.69 luego de que actores de amenazas desconocidos enviaran una modernización maliciosa (traducción 2.68) el 24 de diciembre de 2025 al mercado de extensiones del navegador.
El incidente de seguridad finalmente provocó que 8,5 millones de dólares en activos de criptomonedas se drenaran de 2.520 direcciones de billetera a no menos de 17 direcciones de billetera controladas por el atacante. La primera actividad de drenaje de billetera se informó públicamente un día luego de la modernización maliciosa.
Desde entonces, Trust Wallet ha iniciado un proceso de demanda de reembolso para las víctimas afectadas. La compañía señaló que las revisiones de las reclamaciones presentadas están en curso y se están manejando caso por caso. Todavía enfatizó que los tiempos de procesamiento pueden variar con cada caso correcto a la menester de distinguir entre víctimas y malos actores, y proteger aún más contra el fraude.
Para evitar que tales violaciones vuelvan a ocurrir, Trust Wallet dijo que ha implementado capacidades de monitoreo y controles adicionales relacionados con sus procesos de fuga.
“Sha1-Hulud fue un ataque a la condena de suministro de software en toda la industria que afectó a empresas de múltiples sectores, incluido, entre otros, el cripto”, dijo la compañía. “Implicaba la preámbulo y distribución de código pillo a través de herramientas de mejora de uso popular. Esto permitió a los atacantes obtener golpe a través de dependencias de software confiables en división de apuntar directamente a organizaciones individuales”.
La divulgación de Trust Wallet coincide con la aparición de Shai-Hulud 3.0 con una longevo ofuscación y mejoras de confiabilidad, sin dejar de estar enfocado en robar secretos de las máquinas de los desarrolladores.
“La principal diferencia radica en la ofuscación de cadenas, el manejo de errores y la compatibilidad con Windows, todo ello destinado a aumentar la duración de la campaña en división de introducir nuevas técnicas de explotación”, dijeron los investigadores de Upwind Guy Gilad y Moshe Hassan.
