Trust Wallet anunció el martes que el segundo brote de la cadena de suministro Shai-Hulud (también conocido como Sha1-Hulud) en noviembre de 2025 fue probablemente responsable del pirateo de su extensión de Google Chrome, que finalmente resultó en el robo de aproximadamente 8,5 millones de dólares en activos.
“El ataque expuso los secretos de nuestro desarrollador GitHub, dándole al atacante acceso al código fuente de nuestra extensión de navegador y a la clave API de Chrome Web Store (CWS)”, dijo la compañía en una autopsia publicada el martes.
“El atacante obtuvo acceso completo a la API de CWS a través de la clave filtrada, lo que permitió que las compilaciones se cargaran directamente sin requerir el proceso de publicación estándar de Trust Wallet, que requiere aprobación interna/revisión manual”.
Luego se supone que el atacante debe registrar el dominio “metrics-trustwallet(.)com” e inyectar una versión troyanizada de la extensión con una puerta trasera capaz de recopilar frases mnemotécnicas de las billeteras de los usuarios en el subdominio “api.metrics-trustwallet(.)com”.
La divulgación se produce días después de que Trust Wallet pidiera a alrededor de un millón de usuarios de su extensión de Chrome que actualizaran a la versión 2.69 después de que actores de amenazas desconocidos enviaran una actualización maliciosa (versión 2.68) al mercado de extensiones del navegador el 24 de diciembre de 2025.
El incidente de seguridad finalmente resultó en el retiro de $8,5 millones en tenencias de criptomonedas de 2.520 direcciones de billetera a no menos de 17 direcciones de billetera controladas por el atacante. La primera actividad de robo de billetera se informó públicamente un día después de la actualización maliciosa.
Trust Wallet ahora ha iniciado un proceso de reembolso para las víctimas afectadas. La compañía señaló que la revisión de los reclamos presentados está en curso y se revisará caso por caso. También se destacó que los tiempos de procesamiento pueden variar de un caso a otro debido a la necesidad de distinguir entre víctimas y perpetradores y la necesidad de una mayor protección contra el fraude.
Para evitar que tales violaciones vuelvan a ocurrir, Trust Wallet dice que ha implementado funciones de monitoreo y controles adicionales relacionados con sus procesos de intercambio.
“Sha1-Hulud fue un ataque a la cadena de suministro de software en toda la industria que afectó a empresas de múltiples sectores, incluido, entre otros, el cripto”, dijo la compañía. “Se inyectó y distribuyó código malicioso a través de herramientas de desarrollo comunes. Esto permitió a los atacantes obtener acceso a través de dependencias de software confiables en lugar de atacar organizaciones individuales directamente”.
La divulgación de Trust Wallet coincide con el lanzamiento de Shai-Hulud 3.0, que presenta una mayor ofuscación y mejoras de confiabilidad, pero sigue enfocado en robar secretos de las máquinas de los desarrolladores.
“La diferencia clave radica en la ofuscación de cadenas, el manejo de errores y la compatibilidad con Windows, todos los cuales tienen como objetivo aumentar la longevidad de la campaña en lugar de introducir nuevas técnicas de explotación”, dijeron los investigadores de Upwind Guy Gilad y Moshe Hassan.
About The Author
