Trust Wallet a révélé mardi que la deuxième itération de l'épidémie de chaîne d'approvisionnement Shai-Hulud (également connue sous le nom de Sha1-Hulud) en novembre 2025 était probablement responsable du piratage de son extension Google Chrome, qui a finalement abouti au vol d'environ 8,5 millions de dollars d'actifs.
“Nos secrets de développeur GitHub ont été exposés lors de l'attaque, donnant à l'attaquant l'accès au code source de notre extension de navigateur et à la clé API du Chrome Web Store (CWS)”, a déclaré la société dans une autopsie publiée mardi.
“L'attaquant a obtenu un accès complet à l'API CWS via la clé divulguée, permettant de télécharger directement les builds sans le processus de publication standard de Trust Wallet, qui nécessite une approbation interne/un examen manuel.”
Par la suite, l'attaquant aurait enregistré le domaine « metrics-trustwallet ».[.]com” et a envoyé une version trojanisée de l'extension avec une porte dérobée capable de collecter des phrases mnémoniques du portefeuille des utilisateurs dans le sous-domaine “api.metrics-trustwallet[.]com.”
La société de cybersécurité Koi a déclaré que le code malveillant est activé à chaque déverrouillage et pas seulement lors de l'importation de la phrase de départ, ce qui entraîne l'extraction de données sensibles, que les victimes aient utilisé un mot de passe ou des données biométriques, et que l'extension du portefeuille ait été utilisée pendant des mois ou n'ait été ouverte qu'une seule fois après sa mise à jour vers la version 2.68.
“Le code passe par chaque portefeuille du compte de l'utilisateur, pas seulement celui actif. Si plusieurs portefeuilles étaient configurés, ils étaient tous compromis”, ont déclaré les chercheurs Oren Yomtov et Yuval Ronen. “Les phrases de départ sont insérées dans un champ appelé errorMessage dans ce qui semble être une télémétrie de déverrouillage standard. Un examen informel du code voit un événement analytique suivre le succès du déverrouillage avec des métadonnées d'erreur.”
Le domaine “metrics-trustwallet[.]com”, quant à lui, se résout en “138.124.70.40”, qui est hébergé par Stark Industries Solutions, un fournisseur de services d'hébergement à toute épreuve qui a été constitué au Royaume-Uni en février 2022, deux semaines seulement avant l'invasion russe à grande échelle de l'Ukraine. Il a l'habitude de permettre des cyberopérations parrainées par l'État russe ainsi que d'autres activités cybercriminelles.
Fait intéressant, l'analyse de Koi a également révélé que l'interrogation du serveur renvoyait directement la réponse « Celui qui contrôle l'épice contrôle l'univers », une référence à Dune qui fait écho à des références similaires vues dans l'incident npm de Shai-Hulud.
“L'en-tête Last Modified révèle que l'infrastructure a été préparée le 8 décembre, soit plus de deux semaines avant la publication de la mise à jour malveillante du 24 décembre”, a-t-il ajouté. “Ce n'était pas opportuniste. C'était planifié.”
Cette divulgation intervient quelques jours après que Trust Wallet a exhorté environ un million d'utilisateurs de son extension Chrome à mettre à jour vers la version 2.69 après que des acteurs malveillants inconnus ont poussé une mise à jour malveillante (version 2.68) le 24 décembre 2025 sur le marché des extensions de navigateur.
L’incident de sécurité a finalement entraîné la fuite de 8,5 millions de dollars d’actifs de crypto-monnaie de 2 520 adresses de portefeuille vers pas moins de 17 adresses de portefeuille contrôlées par l’attaquant. La première activité de fuite de portefeuille a été signalée publiquement un jour après la mise à jour malveillante.
Trust Wallet a depuis lancé un processus de demande de remboursement pour les victimes concernées. La société a indiqué que les examens des réclamations soumises sont en cours et traités au cas par cas. Il a également souligné que les délais de traitement peuvent varier selon chaque cas en raison de la nécessité de faire la distinction entre les victimes et les mauvais acteurs, et de mieux se protéger contre la fraude.
Pour éviter que de telles violations ne se reproduisent, Trust Wallet a déclaré avoir mis en œuvre des capacités de surveillance et des contrôles supplémentaires liés à ses processus de publication.
“Sha1-Hulud était une attaque de chaîne d'approvisionnement logicielle à l'échelle de l'industrie qui a affecté des entreprises de plusieurs secteurs, y compris, mais sans s'y limiter, la cryptographie”, a déclaré la société. “Cela impliquait l'introduction et la distribution de code malveillant via des outils de développement couramment utilisés. Cela a permis aux attaquants d'accéder via des dépendances logicielles fiables plutôt que de cibler directement des organisations individuelles.”
La sortie de Trust Wallet coïncide avec la sortie de Shai-Hulud 3.0 avec des améliorations accrues en matière d'obscurcissement et de fiabilité, tout en restant concentré sur le vol de secrets sur les machines des développeurs.
“La principale différence réside dans l'obscurcissement des chaînes, la gestion des erreurs et la compatibilité Windows, toutes visant à augmenter la longévité des campagnes plutôt que d'introduire de nouvelles techniques d'exploitation”, ont déclaré Guy Gilad et Moshe Hassan, chercheurs d'Upwind.