Trust Wallet por fin identifica a los responsables del robo de 8,5 millones de dólares
Delincuentes prepararon durante años el terreno para este ataque encubierto.
Una amplia campaña de compromiso de cadenas de suministro, conocida como Shai-Hulud, resultó estar vinculada a la reciente sustracción de criptomonedas por un valor de aproximadamente 8,5 millones de dólares de más de 2500 monederos de Trust Wallet. El equipo de la empresa concluyó que el incidente, ocurrido en diciembre, fue una continuación de un ataque a gran escala contra el ecosistema npm, iniciado en otoño.
Durante la investigación se estableció, que los atacantes obtuvieron acceso al código fuente de la extensión de Trust Wallet para el navegador Chrome y a su clave API para publicar actualizaciones. Esto fue posible gracias a la filtración de secretos de desarrolladores a través de GitHub, causada por las acciones de los integrantes de Shai-Hulud. Con ese acceso, los actores maliciosos subieron una versión maliciosa de la extensión, capaz de recopilar datos sensibles de los monederos de los usuarios y ejecutar transacciones no autorizadas.
La empresa también confirmó que los dominios utilizados en los ataques fueron registrados específicamente para distribuir código malicioso. Los recursos detectados se entregaron de inmediato al registrador y se bloquearon para limitar la propagación posterior de la amenaza. Paralelamente, Trust Wallet revocó el acceso a todas las API relacionadas con la publicación de nuevas versiones de la extensión y comenzó a compensar a los usuarios afectados por el ataque.
La campaña Shai-Hulud, en el marco de la cual se desarrolló el incidente, constituye uno de los casos más extensos conocidos de compromiso de paquetes npm. Según especialistas, en la primera fase del ataque se infectaron alrededor de 180 paquetes. Más tarde, tras pasar a una segunda fase, la cantidad de bibliotecas maliciosas superó las 27 000. A través de ellas se robaron claves y secretos de desarrolladores, y los datos obtenidos se alojaron en miles de repositorios en GitHub.
En total se comprometieron alrededor de 400 000 datos confidenciales, incluidos tokens de acceso y claves de sistemas CI/CD. Una parte significativa de esos datos permaneció activa meses después del ataque. Según equipos de investigación, el nivel de organización y la complejidad técnica de Shai-Hulud permiten prever nuevos intentos de explotación de los ecosistemas npm y GitHub, así como el uso de la base ya recopilada de datos robados.
Trust Wallet, que anteriormente no vinculaba lo ocurrido directamente con un ataque a la cadena de suministro, ahora subraya que las acciones de los atacantes formaron parte de una campaña general que afectó a la amplia comunidad de desarrolladores. Esto confirma los temores sobre las consecuencias de las filtraciones provocadas por la infección de componentes de infraestructura de código abierto.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla