El incidente que afectó a la extensión de Trust Wallet para Google Chrome a finales de diciembre de 2025 se ha convertido en uno de los ejemplos más ilustrativos de los riesgos en la cadena de suministro de software dentro del ecosistema de criptomonedas. La investigación posterior ha vinculado el ataque con la campaña Shai-Hulud, conocida por comprometer paquetes de npm y robar secretos de desarrolladores a gran escala.
Compromiso de la extensión de Trust Wallet para Chrome y robo de criptoactivos
El 24 de diciembre se publicó en Chrome Web Store una actualización de la extensión de Trust Wallet identificada como versión 2.68. Aunque parecía legítima, posteriormente se confirmó que incluía un componente malicioso diseñado para interceptar datos sensibles de los monederos (como claves privadas o frases de recuperación) y potencialmente ejecutar transacciones no autorizadas en nombre de las víctimas.
Tras el análisis interno, el equipo de Trust Wallet identificó 2.520 direcciones de criptomonedas comprometidas. El impacto económico estimado ronda los 8,5 millones de dólares estadounidenses, una cifra que sitúa este incidente entre los ataques más significativos dirigidos a wallets de consumo.
El vector de ataque principal fue la comprometida de una cuenta de GitHub de un desarrollador de Trust Wallet. Los atacantes obtuvieron acceso al código fuente de la extensión y, crucialmente, al API key de Chrome Web Store (CWS) utilizado para publicar actualizaciones. Con esta clave, pudieron subir versiones modificadas directamente al marketplace de Chrome, eludiendo los controles internos de revisión y aprobación de releases. Se trata de un caso clásico de ataque a la cadena de suministro: en lugar de atacar a cada usuario, se modifica un componente confiable del proceso de actualización.
Para distribuir la carga maliciosa, los atacantes registraron el dominio metrics-trustwallet[.]com y el subdominio api.metrics-trustwallet[.]com. La extensión comprometida se comunicaba con estos dominios, desde donde descargaba código adicional y exfiltraba información de los monederos hacia la infraestructura controlada por los delincuentes.
Campaña Shai-Hulud: ataques masivos a la cadena de suministro de npm
Primera fase: gusano autorreplicante y robo de secretos de desarrolladores
El malware Shai-Hulud (Sha1-Hulud) se dio a conocer por una amplia campaña dirigida contra el ecosistema npm, el principal gestor de paquetes de JavaScript. En una primera ola, detectada a inicios de septiembre, los atacantes comprometieron más de 180 paquetes legítimos de npm, insertando en ellos un payload con comportamiento de gusano autorreplicante que se propagaba a nuevos proyectos cuando los desarrolladores instalaban dependencias.
El objetivo principal era robar secretos de la infraestructura de desarrollo: tokens de acceso, claves API, contraseñas de servicios y credenciales de entornos CI/CD. Para localizar información sensible, el código utilizaba técnicas de secret scanning similares a herramientas públicas como TruffleHog, capaces de analizar repositorios y registros en busca de claves filtradas y datos confidenciales.
Segunda fase: más de 800 paquetes comprometidos y 27.000 publicaciones maliciosas
En una segunda fase, la campaña Shai-Hulud se amplió de forma significativa. Informes de los investigadores señalan que se llegaron a comprometer más de 800 paquetes legítimos de npm y a publicar en el registro más de 27.000 paquetes maliciosos adicionales. Todos ellos estaban orientados a recopilar secretos de desarrolladores y datos procedentes de pipelines de CI/CD, que luego se publicaban de manera automatizada en repositorios de GitHub.
Como resultado, se habrían filtrado en torno a 400.000 secretos distintos, distribuidos en más de 30.000 repositorios de GitHub. Entre los afectados se encuentran desarrolladores y empresas de todo el mundo, incluidas organizaciones de criptomonedas y fintech. Con alta probabilidad, esta filtración masiva facilitó a los atacantes el acceso tanto al repositorio de la extensión de Trust Wallet como al API key de Chrome Web Store que permitió publicar la versión 2.68 con backdoor.
Riesgos para la industria cripto y medidas de mitigación en la cadena de suministro
Trust Wallet ha vinculado con un alto grado de confianza el compromiso de su extensión de Chrome con la campaña Shai-Hulud contra npm. Más allá del caso concreto, el incidente subraya la criticidad de la seguridad de la cadena de suministro de software. Ataques de este tipo ya se han observado en otros contextos, como los casos de SolarWinds o Codecov, y demuestran que incluso cuando los usuarios finales aplican buenas prácticas, la explotación de dependencias, cuentas de desarrolladores o infraestructuras de publicación puede provocar daños masivos.
La empresa ha anunciado un programa de compensación para los usuarios afectados. Paralelamente, se ha detectado una nueva ola de fraude: actores maliciosos se hacen pasar por soporte de Trust Wallet, ofreciendo formularios falsos de “reembolso” y difundiendo estas estafas a través de Telegram y otros canales. Se recomienda a los usuarios verificar siempre la autenticidad de cualquier comunicación, desconfiar de enlaces no verificados y no revelar nunca la frase semilla ni claves privadas, ni siquiera ante supuestos equipos de soporte.
Desde una perspectiva de ciberseguridad práctica, los proyectos de criptomonedas y cualquier organización que dependa de npm y GitHub deberían implantar controles robustos: gestión estricta de accesos a repositorios y sistemas de release, autenticación multifactor obligatoria, aplicación del principio de mínimo privilegio, rotación periódica de claves y tokens, endurecimiento de entornos CI/CD, uso de herramientas de escaneo de dependencias y de secret scanning continuo en código y registros.
Para los usuarios de wallets y servicios cripto, la lección es clara: instalar extensiones y actualizaciones solo desde fuentes oficiales, revisar con atención los permisos, aplicar de inmediato los parches de seguridad y monitorizar regularmente la actividad de sus monederos. Cuanto antes adopten tanto empresas como usuarios una cultura de seguridad de la cadena de suministro, más difícil será repetir escenarios como el que permitió comprometer la extensión de Trust Wallet y provocar pérdidas millonarias. Invertir hoy en estas medidas reduce de forma directa el riesgo de ataques similares mañana.
