Trust Wallet раскрыл, кто стоит за хищением криптовалюты на $8,5 млн

Атака, последствия которой проявились лишь сейчас, готовилась на протяжении длительного времени и оставалась незаметной.

Масштабная операция по компрометации цепочек поставок, получившая название Shai-Hulud, оказалась напрямую связана с недавним инцидентом в Trust Wallet, в результате которого было похищено около 8,5 млн долларов с более чем 2500 криптокошельков. В компании пришли к выводу, что декабрьская кража стала логическим продолжением атаки на экосистему npm, начавшейся ещё в осенний период.

В процессе расследования специалисты Trust Wallet установили, что злоумышленники смогли получить доступ к исходному коду браузерного расширения для Chrome, а также к API-ключу, использовавшемуся для публикации обновлений. Причиной стала утечка секретов разработчиков через GitHub, возникшая вследствие действий операторов Shai-Hulud. Получив контроль над инфраструктурой обновлений, атакующие разместили модифицированную версию расширения, способную извлекать конфиденциальные данные пользователей и инициировать несанкционированные переводы средств.

Компания также подтвердила, что доменные имена, задействованные в распространении вредоносного ПО, были зарегистрированы целенаправленно для проведения атаки. После их выявления Trust Wallet передал информацию регистратору, что позволило оперативно заблокировать ресурсы и сократить дальнейшее распространение угрозы. Дополнительно был отозван доступ ко всем API, связанным с выпуском обновлений расширения, а пострадавшим пользователям запущен процесс возмещения ущерба.

Сама кампания Shai-Hulud считается одной из крупнейших известных атак на цепочки поставок в экосистеме npm. По оценкам исследователей, на начальном этапе вредоносный код был внедрён примерно в 180 пакетов. После перехода ко второй фазе число заражённых библиотек превысило 27 тысяч. Через них происходил сбор ключей, токенов и других секретов разработчиков, которые затем автоматически публиковались в тысячах репозиториев на GitHub.

Общий объём скомпрометированных данных оценивается примерно в 400 тысяч единиц — включая токены доступа и ключи CI/CD-инфраструктуры. Существенная часть этих данных оставалась действительной даже спустя несколько месяцев после начала атаки. Эксперты отмечают, что уровень подготовки и сложность операции указывают на высокую вероятность дальнейшей эксплуатации npm-пакетов и GitHub-репозиториев, а также повторного использования уже похищенных секретов.

Если ранее Trust Wallet не связывал произошедшее напрямую с атакой на цепочку поставок, то теперь компания подчёркивает: инцидент был элементом более широкой кампании, затронувшей значительную часть сообщества разработчиков. Это ещё раз подтверждает масштаб рисков, связанных с утечками данных через заражённые компоненты инфраструктуры с открытым исходным кодом.