The Last 24 Hours | 安全无小事

Trust Wallet Chrome 扩展插件被 Shai-Hulud 供应链攻击盗走 850 万美元

2025/12/31 安全事件 The Hacker News

Trust Wallet 周二透露,2025年11月发生的第二次 Shai-Hulud(亦称 Sha1-Hulud)供应链疫情可能是其 Google Chrome 扩展插件被攻击的原因,导致约 850 万美元资产被盗。

公司在周二发布的事后报告中表示:“我们在攻击中泄露了开发者 GitHub 秘钥,这让攻击者获取了我们的浏览器扩展源码以及 Chrome Web Store(CWS) API 密钥。”

攻击者利用泄露的密钥获得了完整的 CWS API 访问权限,能够直接上传构建,无需 Trust Wallet 通常的内部批准/人工审查的发布流程。

随后,攻击者据称注册了域名 “metrics-trustwallet[.]com”,并向子域 “api.metrics-trustwallet[.]com” 推送了带后门的恶意扩展版本,能够收集用户钱包助记词。

网络安全公司 Koi 表示,恶意代码在每次解锁时都会触发,而不仅在导入助记词时,从而导致敏感数据被窃取,无论受害者使用密码还是生物识别,也无论钱包扩展是使用了数月还是在更新至 2.68 版后仅打开一次。

研究员 Oren Yomtov 与 Yuval Ronen 说:“代码会遍历用户账户中的所有钱包,而不仅是当前活跃的钱包。如果配置了多个钱包,全部都会被泄露。” “助记词被塞入名为 errorMessage 的字段,看起来像是标准的解锁遥测。随意的代码审查只会看到一个记录解锁成功的分析事件,附带一些错误元数据。”

域名 “metrics-trustwallet[.]com” 解析到 IP “138.124.70.40”,该 IP 归属于 Stark Industries Solutions,一家在 2022 年2 月于英国成立的防弹托管服务提供商,恰好在俄罗斯全面入侵乌克兰前两周。该公司有为俄罗斯国家支持的网络行动以及其他网络犯罪提供支持的历史。

有趣的是,Koi 的分析发现直接查询服务器会返回 “He who controls the spice controls the universe”,这是一句《沙丘》中的引用,与在 Shai-Hulud npm 事件中观察到的类似引用相呼应。

报告补充道,Last-Modified 响应头显示基础设施已于 12 月 8 日部署——比 12 月 24 日推送恶意更新提前两周以上。 “这不是偶然的机会主义行为,而是有计划的攻击。”

此通报发布的几天前,Trust Wallet 已提醒约百万 Chrome 扩展用户在未知威胁行为者于 2025 年 12 月 24 日向浏览器扩展市场推送恶意更新(2.68 版)后,升级至 2.69 版。

此次安全事件导致约 850 万美元的加密资产从 2,520 个钱包地址被转移至攻击者控制的至少 17 个钱包地址。首笔资金被盗活动在恶意更新后一天便被公开报道。

保险公司 Koi 还发现直接查询服务器会返回一条信息 “He who controls the spice controls the universe”,这是一句出自《沙丘》的引用,与之前的 Shai‑Hulud npm 事件中的类似引用相呼应。

公司表示,Last‑Modified 头部显示基础设施已于 12 月 8 日搭建——比恶意更新在 12 月 24 日推送提前了两周以上。“这不是偶然的机会主义行为,而是有计划的。”

此披露发生在 Trust Wallet 在数百万 Chrome 扩展用户中呼吁在 2025 年 12 月 24 日未知威胁方推送恶意 2.68 版后,升级至 2.69 版的几天后。

安全事件最终导致约 850 万美元的加密资产从 2,520 个钱包地址被转移至攻击者控制的至少 17 个钱包地址。首笔资金被盗活动在恶意更新后一天即被公开报道。

Trust Wallet 已启动受影响受害者的赔偿申诉流程。公司表示,已提交的申诉正在逐案审查,处理时间可能因需要在受害者和不法分子之间进行辨别并防范欺诈而有所不同。

为防止此类泄漏再次发生,Trust Wallet 表示已在发布流程中加入额外的监控功能和控制措施。

公司称,Sha1‑Hulud 是一次波及多个行业的软供应链攻击,影响了包括加密行业在内的众多公司。攻击通过常用的开发者工具植入并传播恶意代码,使攻击者通过可信的软件依赖获取入口,而非直接针对单个组织。

Trust Wallet 的披露正值 Shai‑Hulud 3.0 的出现,其具备更强的混淆和可靠性改进,但仍专注于窃取开发者机器上的机密。

Upwind 研究员 Guy Gilad 与 Moshe Hassan 表示:“主要区别在于字符串混淆、错误处理以及对 Windows 的兼容性,旨在延长攻击活动的寿命,而非引入新型利用技术。”