Trust Wallet يؤكد هجوم سلسلة التوريد الثاني Shai-Hulud

كشفت Trust Wallet، محفظة العملات المشفرة الشهيرة، عن تفاصيل هجوم سلسلة توريد ثانٍ مرتبط بحادث Shai-Hulud، مؤكدة أن المهاجمين سرقوا حوالي 8.5 مليون دولار في أصول الكريبتو من خلال امتداد Chrome مخترق.

يعود الاختراق إلى هجوم سلسلة توريد في نوفمبر 2025، حيث تم الكشف عن أسرار GitHub لمطور الشركة. وفرت هذه التسريب للمهاجمين الوصول إلى كود المصدر لامتداد المتصفح ومفتاح API لمتجر Chrome Web. باستخدام هذه، تجاوز المهاجمون ضوابط الإصدار الداخلية ونشر نسخة معدلة، 2.68، في 24 ديسمبر 2025. تضمنت الامتداد الخبيث كودًا مستضافًا على النطاق metrics-trustwallet.com، مصممًا لجمع بيانات محفظة المستخدمين الحساسة دون حقن كود تقليدي.

كما ورد في تقرير Trust Wallet، "سجل المهاجم النطاق metrics-trustwallet.com (والنطاق الفرعي api.metrics-trustwallet.com) بنية استضافة كود خبيث وتضمين إشارة إلى ذلك الكود في نشره الخبيث لامتداد متصفح Trust Wallet." يفعل الكود عند كل فتح محفظة، يتكرر عبر جميع المحافظ المكونة ويضمن عبارات البذور في بيانات التليمتري المقنعة المرسلة إلى خادم المهاجم.

حللت شركة الأمن السيبراني Koi البرمجيات الضارة، مشيرة إلى أنها استخرجت البيانات بغض النظر عن طريقة التحقق. حل النطاق إلى عنوان IP 138.124.70.40، مستضاف من Stark Industries Solutions، مزود مقاوم للرصاص مرتبط بعمليات سيبرانية روسية. أعادت استفسارات الخادم اقتباسًا من Dune، مشيرًا إلى حادث npm الأصلي Shai-Hulud.

ظهرت أنشطة تصريف المحافظ في 25 ديسمبر 2025، مما دفع إلى رد سريع. تتبع الباحثون 0xAkinator وZachXBT محافظ المهاجمين، بينما أصدرت Trust Wallet تنبيهات، تراجعت إلى إصدار نظيف 2.67 (أُصدر كـ2.69)، وخففت محاولات DDoS. "في 25 ديسمبر، تم الإبلاغ علنًا عن أول نشاط تصريف محافظ"، يقول التقرير. أعطت الشركة الأولوية لتحديث صامت للسلامة، ثم وجهت المستخدمين للترقية وتحذير أولئك على الإصدار 2.68 (24-26 ديسمبر) بنقل الأموال.

عطلت Trust Wallet الوصول غير المصرح به للنشر، نسقت مع شركات تحليل البلوكشين لتتبع الأموال المسروقة، والتزمت بالتعويضات. مخطط أداة تحقق للإصدار 2.70، مع تحقيقات مستمرة لتعزيز الأمان.