Trust Wallet a lié un second attaque de chaîne d'approvisionnement Shai-Hulud à un piratage de son extension Chrome, entraînant le vol d'environ 8,5 millions de dollars en cryptomonnaies. L'incident a impliqué une version malveillante de l'extension qui a exfiltré les données sensibles des portefeuilles des utilisateurs. L'entreprise a rétrogradé le logiciel compromis et s'est engagée à rembourser les utilisateurs affectés.
Trust Wallet, un portefeuille de cryptomonnaies populaire, a divulgué les détails d'un second attaque de chaîne d'approvisionnement lié à l'incident Shai-Hulud, confirmant que des hackers ont volé environ 8,5 millions de dollars en actifs crypto via une extension Chrome compromise.
La brèche remonte à une attaque de chaîne d'approvisionnement en novembre 2025, où les secrets GitHub du développeur de l'entreprise ont été exposés. Cette fuite a fourni aux attaquants l'accès au code source de l'extension du navigateur et à une clé API Chrome Web Store. À l'aide de ceux-ci, les hackers ont contourné les contrôles internes de publication et ont publié une version falsifiée, 2.68, le 24 décembre 2025. L'extension malveillante incluait du code hébergé sur le domaine metrics-trustwallet.com, conçu pour collecter les données sensibles des portefeuilles des utilisateurs sans injection de code traditionnelle.
Comme détaillé dans le rapport de Trust Wallet, « L'attaquant a enregistré le domaine metrics-trustwallet.com (et le sous-domaine api.metrics-trustwallet.com) dans l'intention d'héberger du code malveillant et d'intégrer une référence à ce code dans leur déploiement malveillant de l'Extension du Navigateur Trust Wallet. » Le code s'activait à chaque déverrouillage de portefeuille, itérant à travers tous les portefeuilles configurés et intégrant des phrases de graine dans des données de télémétrie déguisées envoyées au serveur de l'attaquant.
La société de cybersécurité Koi a analysé le malware, notant qu'il exfiltrait les données indépendamment de la méthode d'authentification. Le domaine se résolvait à l'adresse IP 138.124.70.40, hébergée par Stark Industries Solutions, un fournisseur blindé lié à des opérations cyber russes. Les requêtes au serveur renvoyaient une citation de Dune, faisant référence à l'incident npm Shai-Hulud original.
Les activités de vidage de portefeuilles ont émergé le 25 décembre 2025, provoquant une réponse rapide. Les chercheurs 0xAkinator et ZachXBT ont suivi les portefeuilles des attaquants, tandis que Trust Wallet a émis des alertes, rétrogradé vers une version propre 2.67 (sortie sous 2.69), et atténué les tentatives de DDoS. « Le 25 décembre, la première activité de vidage de portefeuilles a été signalée publiquement », indique le rapport. L'entreprise a priorisé une mise à jour silencieuse pour la sécurité, puis a guidé les utilisateurs pour mettre à jour et averti ceux sur la version 2.68 (24-26 décembre) de déplacer leurs fonds.
Trust Wallet a désactivé l'accès non autorisé à la publication, coordonné avec des firmes d'analyse blockchain pour tracer les fonds volés, et promis des remboursements. Un outil de vérification est prévu pour la version 2.70, avec des enquêtes en cours pour renforcer la sécurité.
