Ende Dezember 2025 wurde der beliebte Krypto-Wallet-Anbieter Trust Wallet zum Ziel eines schwerwiegenden Cyberangriffs: Die offizielle Chrome-Erweiterung wurde manipuliert und zur verdeckten Entwendung von Kryptowerten missbraucht. Der Vorfall ist Teil der grösser angelegten Shai-Hulud-Kampagne, einer Supply-Chain-Attacke auf das npm-Ökosystem und die Software-Lieferkette von Entwicklern.
Trust Wallet Chrome-Erweiterung kompromittiert: Ablauf und Schaden
Am 24. Dezember wurde im Chrome Web Store eine scheinbar reguläre Aktualisierung der Trust-Wallet-Erweiterung mit der Versionsnummer 2.68 veröffentlicht. Diese Version erwies sich nachträglich als bösartig: Ein zusätzlich eingebetteter Code schnitt sensible Wallet-Daten mit und konnte im Hintergrund nicht autorisierte Transaktionen im Namen der Nutzer auslösen.
Die interne Analyse von Trust Wallet ergab, dass insgesamt 2520 Krypto-Adressen kompromittiert wurden. Der finanzielle Schaden wird auf rund 8,5 Millionen US‑Dollar geschätzt. Damit zählt der Vorfall zu den grösseren Angriffen auf Konsumenten-Krypto-Wallets der vergangenen Jahre.
Ursache der Kompromittierung war die Übernahme eines GitHub-Kontos eines Trust-Wallet-Entwicklers. Die Angreifer erhielten dadurch Zugriff auf den Quellcode der Erweiterung und auf den sensiblen Chrome Web Store API‑Schlüssel (CWS API), der für die automatisierte Veröffentlichung von Updates genutzt wurde.
Mit dem gestohlenen CWS-API-Schlüssel konnten die Angreifer manipulierte Builds direkt in den Chrome Web Store hochladen und damit den internen Release-Prozess von Trust Wallet aushebeln, der eigentlich eine mehrstufige, manuelle Freigabe vorsieht. Aus Sicht der Cybersicherheit handelt es sich um einen klassischen Supply‑Chain‑Angriff auf den Update‑Prozess, bei dem nicht das Endgerät des Nutzers, sondern die vertrauenswürdige Lieferkette kompromittiert wird.
Zur Auslieferung der Schadfunktionen registrierten die Täter die Domain metrics-trustwallet[.]com mitsamt Subdomain api.metrics-trustwallet[.]com. Die kompromittierte Browser-Erweiterung kontaktierte diese Infrastruktur, übermittelte dort Wallet-Informationen und konnte weitere schädliche Befehle nachladen.
Shai-Hulud: Supply-Chain-Angriff auf die npm-Lieferkette
Erste Welle: Selbstverbreitender Wurm und Diebstahl von Entwicklergeheimnissen
Die Kampagne Shai-Hulud (Sha1-Hulud) zielt auf das weit verbreitete JavaScript-Ökosystem npm, das für Web- und Blockchain-Projekte eine zentrale Rolle spielt. In der ersten Angriffsphase Anfang September kompromittierten die Täter über 180 npm-Pakete, indem sie einen selbstverbreitenden Wurm einbetteten, der sich bei jeder Installation in weitere Projekte einschleuste.
Der Schadcode war darauf ausgelegt, Geheimnisse von Entwicklern und ihrer Infrastruktur zu stehlen – darunter Zugriffstokens, API-Schlüssel, Passwörter für Cloud- und DevOps-Dienste sowie Konfigurationsdaten von CI/CD-Pipelines. Zum Auffinden solcher Informationen nutzten die Angreifer ein Secret-Scanning-Werkzeug ähnlich TruffleHog, das Repositories und Logfiles automatisiert nach versehentlich eingecheckten Schlüsseln durchsucht.
Zweite Welle: Über 800 kompromittierte Pakete und zehntausende bösartige Uploads
In einer zweiten Welle weitete Shai-Hulud den Supply-Chain-Angriff massiv aus. Sicherheitsforscher gehen davon aus, dass mehr als 800 legitime npm-Pakete kompromittiert wurden. Zusätzlich luden die Angreifer über 27 000 klar bösartige Pakete in das npm-Registry hoch, die vor allem dem Sammeln von Entwicklergeheimnissen und CI/CD-Daten dienten.
Im Ergebnis wurden etwa 400 000 verschiedene Geheimnisse offengelegt, die in mehr als 30 000 GitHub-Repositories sichtbar wurden. Betroffen waren tausende Entwickler und Unternehmen weltweit – darunter auch Teams aus der Krypto- und Fintech‑Industrie. Mit hoher Wahrscheinlichkeit nutzten die Angreifer genau diese abgeflossenen Zugangsdaten, um das GitHub-Konto und den CWS-API-Schlüssel von Trust Wallet zu kompromittieren.
Von npm zur Krypto-Wallet: Verbindung zwischen Shai-Hulud und dem Trust-Wallet-Hack
Nach Einschätzung von Trust Wallet besteht ein direkter Zusammenhang zwischen der Shai-Hulud-Supply-Chain-Kampagne und der Manipulation der Chrome-Erweiterung. Über die im npm-Ökosystem gestohlenen Secrets erhielten die Angreifer Zugang zu kritischen Entwicklerressourcen und konnten so Codebasis und Veröffentlichungsinfrastruktur von Trust Wallet unterwandern.
Der Angriff illustriert ein Grundproblem moderner Softwareentwicklung: Software-Lieferketten sind stark vernetzt. Abhängigkeiten von npm-Paketen, GitHub-Repositories, CI/CD-Systemen und Plattformen wie dem Chrome Web Store bilden eine lange Kette von Vertrauensbeziehungen. Wird ein Glied dieser Kette kompromittiert, können Angreifer legitime Updates manipulieren – ähnlich wie bei bekannten Supply-Chain-Fällen wie SolarWinds oder 3CX, bei denen signierte, aber bösartige Updates verteilt wurden.
Auswirkungen auf Krypto-Nutzer und Reaktion von Trust Wallet
Trust Wallet hat angekündigt, den . Parallel warnt das Unternehmen vor einer zweiten Welle von Betrugsversuchen: Kriminelle geben sich in Telegram-Gruppen, Foren und per E‑Mail als Support-Mitarbeiter aus und versprechen vermeintliche Entschädigungszahlungen. Über gefälschte Formulare versuchen sie, erneut Seed-Phrasen, Private Keys oder Zugangsdaten abzugreifen.
Nutzern wird dringend empfohlen, niemals Wiederherstellungsphrasen oder Private Keys in Online-Formulare einzugeben, den Kontakt stets über die offiziellen Support-Kanäle des Anbieters zu suchen und Browser-Erweiterungen sowie Wallet-Apps ausschliesslich aus verifizierten Quellen zu installieren.
Lehren für die Sicherheit der Software-Lieferkette im Krypto-Sektor
Der Vorfall um Trust Wallet macht deutlich, dass Software-Supply-Chain-Security zu einem zentralen Thema der Cybersicherheit im Krypto-Sektor geworden ist. Selbst sicherheitsbewusste Endnutzer sind gefährdet, wenn Entwicklerkonten, npm-Abhängigkeiten oder Release-Infrastrukturen kompromittiert werden.
Aus praktischer Sicht gehören zu den wichtigsten Schutzmassnahmen:
Striktes Zugriffsmanagement: Minimale Rechte (Least Privilege) für GitHub, npm, CI/CD und Cloud-Ressourcen, konsequente Nutzung von Multi-Faktor-Authentifizierung und regelmässige Überprüfung von Team- und Service-Accounts.
Schlüsselverwaltung und Secret-Security: Häufige Rotation von API-Schlüsseln und Tokens, vollständige Trennung von Produktions- und Entwicklungszugängen sowie automatisiertes Secret-Scanning in Code-Repositories und Logs.
Abhängigkeits- und Release-Überwachung: Kontinuierliches Monitoring von npm-Paketen, Einsatz von Signaturen und Reproduzierbarkeitsprüfungen für Builds sowie unabhängige, manuelle Prüfungen vor der Freigabe kritischer Updates, etwa von Browser-Erweiterungen oder Wallet-Komponenten.
Für Organisationen im Krypto- und Fintech-Bereich lohnt sich die Investition in strukturierte Supply-Chain-Security-Programme: regelmässige Audits von Abhängigkeiten, Härtung von GitHub- und CI/CD-Umgebungen sowie Schulungen der Entwicklungsteams für sichere Coding- und Release-Praktiken. Nutzer sollten ihrerseits Wallet-Aktivitäten beobachten, Sicherheitsupdates zeitnah einspielen und die Herkunft jeder Erweiterung kritisch hinterfragen.
Der Shai-Hulud-Angriff auf die Trust-Wallet-Chrome-Erweiterung zeigt, wie schnell ein einzelner kompromittierter Entwicklerzugang zu multimillionenschweren Verlusten führen kann. Wer Krypto-Assets verwaltet oder entsprechende Dienste anbietet, sollte Lieferketten-Risiken heute so ernst nehmen wie klassische Schwachstellen in Endgeräten – und jetzt damit beginnen, Prozesse, Tools und Schulungen entsprechend auszurichten.
