Trust Wallet ha vinculado un segundo ataque de cadena de suministro Shai-Hulud a un hackeo en su extensión de Chrome, que resultó en el robo de unos 8,5 millones de dólares en criptomonedas. El incidente involucró una versión maliciosa de la extensión que exfiltró datos sensibles de las carteras de los usuarios. La compañía revertó el software comprometido y se comprometió a reembolsar a los usuarios afectados.
Trust Wallet, una popular cartera de criptomonedas, divulgó detalles de un segundo ataque de cadena de suministro relacionado con el incidente Shai-Hulud, confirmando que los hackers robaron aproximadamente 8,5 millones de dólares en activos cripto a través de una extensión de Chrome comprometida.
La brecha se remonta a un ataque de cadena de suministro en noviembre de 2025, donde se expusieron los secretos de GitHub del desarrollador de la compañía. Esta filtración proporcionó a los atacantes acceso al código fuente de la extensión del navegador y a una clave API de Chrome Web Store. Usando estos, los hackers eludieron los controles internos de publicación y lanzaron una versión manipulada, la 2.68, el 24 de diciembre de 2025. La extensión maliciosa incluía código alojado en el dominio metrics-trustwallet.com, diseñado para recopilar datos sensibles de las carteras de los usuarios sin inyección de código tradicional.
Como se detalla en el informe de Trust Wallet, “El atacante registró el dominio metrics-trustwallet.com (y el subdominio api.metrics-trustwallet.com) con la intención de alojar código malicioso e incrustar una referencia a ese código en su despliegue malicioso de la extensión del navegador Trust Wallet”. El código se activaba en cada desbloqueo de cartera, iterando a través de todas las carteras configuradas e incrustando frases semilla en datos de telemetría disfrazados enviados al servidor del atacante.
La firma de ciberseguridad Koi analizó el malware, señalando que exfiltraba datos independientemente del método de autenticación. El dominio resolvía a la dirección IP 138.124.70.40, alojada por Stark Industries Solutions, un proveedor a prueba de balas vinculado a operaciones cibernéticas rusas. Las consultas al servidor devolvían una cita de Dune, haciendo referencia al incidente original de npm Shai-Hulud.
La actividad de drenaje de carteras surgió el 25 de diciembre de 2025, lo que provocó una respuesta rápida. Los investigadores 0xAkinator y ZachXBT rastrearon las carteras de los atacantes, mientras que Trust Wallet emitió alertas, revertó a una versión limpia 2.67 (lanzada como 2.69) y mitigó intentos de DDoS. “El 25 de diciembre, se reportó públicamente la primera actividad de drenaje de carteras”, indica el informe. La compañía priorizó una actualización silenciosa por seguridad, luego guio a los usuarios para actualizarse y advirtió a aquellos en la versión 2.68 (24-26 de diciembre) que transfirieran fondos.
Trust Wallet desactivó el acceso no autorizado a publicaciones, coordinó con firmas de análisis blockchain para rastrear fondos robados y prometió reembolsos. Se planea una herramienta de verificación para la versión 2.70, con investigaciones en curso para fortalecer la seguridad.
