В конце декабря 2025 года популярный криптокошелёк Trust Wallet столкнулся с серьёзным инцидентом безопасности: было скомпрометировано его браузерное расширение для Google Chrome. Расследование показало, что атака напрямую связана с масштабной кампанией Shai-Hulud, нацеленной на экосистему npm и цепочку поставок программного обеспечения.
Компрометация расширения Trust Wallet для Chrome и кража криптоактивов
Опасная версия расширения Trust Wallet с номером 2.68 была опубликована в Chrome Web Store 24 декабря и впоследствии признана вредоносной. В неё был добавлен специально подготовленный файл, который перехватывал конфиденциальные данные кошельков пользователей и мог инициировать несанкционированные транзакции от их имени.
По итогам внутреннего расследования разработчики зафиксировали 2520 скомпрометированных адресов криптокошельков. Суммарный ущерб, нанесённый пользователям в результате этого инцидента, оценивается примерно в 8,5 млн долларов США, что делает атаку одной из заметных по масштабу для рынка потребительских криптокошельков.
Ключевым фактором, позволившим атакующим внедрить вредоносный код в легитимное расширение, стала компрометация GitHub-аккаунта одного из разработчиков Trust Wallet. Злоумышленники получили доступ к исходному коду расширения и к API-ключу Chrome Web Store (CWS), который использовался для публикации обновлений.
Обладая украденным ключом CWS API, атакующие смогли загружать модифицированные сборки напрямую в магазин расширений Chrome, обходя внутренний процесс релизов Trust Wallet, подразумевающий ручную проверку и многоуровневое одобрение. Это классический пример атаки на процесс поставки обновлений, когда злоумышленник не ломает конечное устройство пользователя, а подменяет доверенный компонент цепочки обновлений.
Для доставки полезной нагрузки хакеры зарегистрировали домен metrics-trustwallet[.]com и поддомен api.metrics-trustwallet[.]com, на которых размещался вредоносный код. Скомпрометированная версия расширения обращалась к этим ресурсам, собирая и передавая данные кошельков пользователей на инфраструктуру нападающих.
Кампания Shai-Hulud: атака на цепочку поставок npm
Первая волна: самораспространяющийся червь и кража секретов разработчиков
Червь Shai-Hulud (Sha1-Hulud) известен как участник крупной цепочечной атаки на экосистему npm. В первой волне, зафиксированной в начале сентября, злоумышленники скомпрометировали более 180 npm-пакетов, внедрив в них самораспространяющийся пейлоад, который автоматически распространялся на новые проекты при установке зависимостей.
Основная цель вредоносного кода состояла в краже секретов разработчиков и их инфраструктуры: токенов доступа, API-ключей, паролей к сервисам и данных CI/CD. Для поиска чувствительных данных использовался инструмент класса secret-scanning, аналогичный TruffleHog, который анализирует репозитории и логи на предмет утечек ключей и конфиденциальной информации.
Вторая волна: более 800 скомпрометированных пакетов и десятки тысяч вредоносных публикаций
Во второй волне кампания Shai-Hulud существенно расширилась. По оценкам исследователей, злоумышленникам удалось скомпрометировать уже свыше 800 легитимных npm-пакетов и дополнительно загрузить в реестр более 27 000 заведомо вредоносных пакетов. Все они были нацелены на сбор секретов разработчиков и данных из CI/CD-систем с последующей автоматической публикацией этих сведений в репозиториях на GitHub.
В результате этой цепочки атак было раскрыто около 400 000 различных секретов, а украденные данные оказались размещены более чем в 30 000 GitHub-репозиториев. Под удар попали тысячи разработчиков и компаний по всему миру, включая команды, работающие с криптовалютной и финтех-инфраструктурой. Именно такая утечка секретов и учётных данных с высокой вероятностью позволила злоумышленникам получить доступ к GitHub и CWS API Trust Wallet.
Риски для криптоиндустрии и меры реагирования Trust Wallet
Представители Trust Wallet с высокой степенью уверенности увязывают инцидент с расширением Chrome с кампанией Shai-Hulud против npm. По их оценке, червь обеспечил злоумышленникам доступ к исходному коду расширения и к ключу CWS API, после чего они выпустили модифицированную версию с бэкдором для сбора конфиденциальных данных кошельков и разместили её в Chrome Web Store под видом легитимного обновления.
Компания объявила о начале компенсации ущерба пострадавшим пользователям. Одновременно команда безопасности предупредила о новой волне мошенничества: злоумышленники начали маскироваться под службу поддержки Trust Wallet, рассылать фальшивые формы для «получения компенсации» и продвигать такие схемы через Telegram и другие каналы. Пользователям настоятельно рекомендуется проверять подлинность любых запросов, связанных с выплатами или восстановлением доступа к кошельку.
Инцидент с Trust Wallet демонстрирует, насколько критично для криптоиндустрии стало понятие безопасности цепочки поставок программного обеспечения (software supply chain security). Даже если конечные пользователи соблюдают базовые правила кибергигиены, компрометация аккаунтов разработчиков, npm-зависимостей или инфраструктуры публикации (таких как Chrome Web Store, GitHub, CI/CD) способна привести к массовым последствиям и прямым финансовым потерям.
С точки зрения практической кибербезопасности ключевыми мерами защиты в подобных сценариях являются строгий контроль доступа к репозиториям и релизной инфраструктуре, обязательное использование многофакторной аутентификации, сегментация прав (минимально необходимые привилегии), регулярная ротация ключей и токенов, а также внедрение автоматизированного мониторинга зависимости и сканирования секретов в кодовой базе и логах.
Развитие атак наподобие Shai-Hulud показывает, что разработчикам криптосервисов и пользователям кошельков важно критично относиться к любым обновлениям, расширениям и зависимостям, использовать только официальные источники, оперативно устанавливать патчи безопасности и отслеживать активность своих кошельков. Организациям стоит инвестировать в защиту цепочки поставок ПО: аудит npm-пакетов, защиту GitHub-аккаунтов, контроль CI/CD и обучение команд безопасным практикам разработки. Чем раньше такие меры становятся стандартом, тем сложнее злоумышленникам повторить сценарий, который привёл к компрометации расширения Trust Wallet и многомиллионным потерям.
