Інцидент із популярним криптогаманцем Trust Wallet наприкінці 2025 року став показовим прикладом того, як атаки на ланцюжок постачання програмного забезпечення (software supply chain) можуть призвести до прямих фінансових втрат для тисяч користувачів, навіть якщо їхні власні пристрої формально не були зламані.
Компрометація розширення Trust Wallet для Chrome та втрата $8,5 млн
24 грудня 2025 року в Chrome Web Store з’явилася оновлена версія браузерного розширення Trust Wallet з номером 2.68. Згодом з’ясувалося, що це оновлення містило вбудований шкідливий код і фактично було троянською версією легітимного продукту.
У модифіковане розширення було додано спеціально підготовлений файл, який перехоплював конфіденційні дані гаманців користувачів і міг ініціювати несанкціоновані транзакції від їхнього імені. Внутрішній аналіз Trust Wallet зафіксував 2 520 скомпрометованих адрес криптогаманців. Орієнтовний сумарний збиток оцінюється приблизно у 8,5 млн доларів США, що робить цю атаку однією з найбільших для сегмента споживчих криптогаманців.
Ключовою передумовою інциденту стала компрометація GitHub-акаунта розробника Trust Wallet. Отримавши доступ до репозиторію вихідного коду та API-ключа Chrome Web Store (CWS), зловмисники змогли публікувати змінені збірки розширення без проходження стандартної внутрішньої процедури релізу, що передбачає ручні перевірки та багаторівневе погодження.
По суті, було атаковано не користувачів безпосередньо, а процес оновлення: під виглядом офіційного апдейту в магазин Chrome потрапила версія з бекдором. Це класичний сценарій атаки на ланцюжок постачання, коли надійний компонент інфраструктури оновлень перетворюється на канал доставки шкідливого коду.
Для винесення шкідливої логіки за межі коду розширення атакувальники зареєстрували домен metrics-trustwallet[.]com та піддомен api.metrics-trustwallet[.]com. Скомпрометована версія розширення зверталася до цих ресурсів, надсилаючи туди дані гаманців і тим самим забезпечуючи операторам атаки віддалений контроль.
Кампанія Shai-Hulud: від npm до GitHub та Trust Wallet
Перша хвиля: заражені npm-пакети та полювання на секрети
Атака на Trust Wallet тісно пов’язана з масштабною кампанією Shai-Hulud (Sha1-Hulud), націленою на екосистему npm та розробницьку інфраструктуру. Першу хвилю атак зафіксували на початку вересня, коли зловмисникам вдалося скомпрометувати понад 180 npm-пакетів.
У модифіковані пакети було вбудовано саморозповсюджуваний пейлоад‑«черв’як», який поширювався далі щоразу, коли ці залежності встановлювалися в нові проєкти. Основна мета — крадіжка секретів розробників: токенів доступу, API‑ключів, паролів до сервісів, облікових даних CI/CD.
Для пошуку чутливих даних використовувався підхід secret‑scanning, подібний до інструментів на кшталт TruffleHog: аналіз вмісту репозиторіїв, історії комітів та логів на предмет витоків ключів і паролів. Це дозволяло автоматизовано збирати секрети з великої кількості проєктів без прямого зламу кожної окремої компанії.
Друга хвиля: десятки тисяч шкідливих публікацій та сотні тисяч секретів
У другій хвилі кампанії Shai-Hulud масштаби різко зросли. Дослідники оцінюють, що було скомпрометовано вже понад 800 легітимних npm‑пакетів, а також опубліковано понад 27 000 відверто шкідливих пакетів.
Усі ці компоненти були заточені під збір секретів розробників та даних з CI/CD‑систем із подальшим автоматичним завантаженням знайдених облікових даних у репозиторії на GitHub. Унаслідок ланцюгової реакції було розкрито близько 400 000 різних секретів, а викрадені дані опинилися більш ніж у 30 000 GitHub‑репозиторіїв.
Під удар потрапили тисячі розробників та компаній по всьому світу, включно з командами, що працюють з криптовалютною та фінтех‑інфраструктурою. З високою ймовірністю саме така компрометація секретів дозволила зловмисникам отримати доступ до GitHub‑акаунта розробника Trust Wallet та API‑ключа CWS, що й стало відправною точкою атаки на розширення Chrome.
Наслідки для криптоіндустрії та практичні кроки захисту
Команда Trust Wallet офіційно пов’язує інцидент із розширенням Chrome з кампанією Shai-Hulud проти npm. Після виявлення компрометації компанія оголосила про запуск програми компенсації збитків постраждалим користувачам.
Паралельно з цим з’явилася нова хвиля шахрайства: зловмисники почали видавати себе за службу підтримки Trust Wallet, розсилати підроблені форми «для отримання компенсації» та активно просувати такі схеми через Telegram та інші канали. Користувачам рекомендується ретельно перевіряти справжність будь‑яких запитів щодо відшкодування чи «відновлення доступу» до гаманця, особливо якщо їх змушують розкривати seed‑фразу або приватні ключі.
Інцидент наочно демонструє, що для криптоіндустрії критично важливо інвестувати саме в безпеку ланцюжка постачання ПЗ, а не лише в захист кінцевих пристроїв. Компрометація облікових записів розробників, npm‑залежностей або інфраструктури публікації (Chrome Web Store, GitHub, CI/CD‑сервіси) здатна миттєво масштабувати атаку на десятки тисяч користувачів.
Ключові практики, які суттєво знижують ризики подібних інцидентів:
- Жорсткий контроль доступу до репозиторіїв і релізної інфраструктури, принцип мінімально необхідних привілеїв.
- Обов’язкова багатофакторна автентифікація (MFA) для GitHub, CWS та інших критичних сервісів.
- Регулярна ротація ключів і токенів, негайне відкликання компрометованих секретів.
- Автоматизований моніторинг залежностей та впровадження secret‑scanning у пайплайни CI/CD.
- Використання лише офіційних джерел оновлень і оперативне встановлення перевірених патчів безпеки.
Для користувачів криптогаманців головний висновок простий: уважно ставитися до будь‑яких оновлень, розширень і підключених сервісів, перевіряти легітимність додатків у магазині браузера, стежити за активністю своїх гаманців та ніколи не передавати seed‑фразу третім особам. Для організацій це сигнал посилити захист ланцюжка постачання ПЗ — від аудиту npm‑пакетів і захисту GitHub‑акаунтів до навчання команд безпечним практикам розробки. Чим раніше такі підходи стануть стандартом, тим складніше буде повторити сценарій, який призвів до багатомільйонних втрат навколо Trust Wallet.
