Trust Wallet liga roubo de US$ 8,5 milhões em criptomoedas a ataque Shai-Hulud no npm

A Trust Wallet confirmou que o roubo de aproximadamente US$ 8,5 milhões em criptomoedas, que afetou mais de 2.500 carteiras, está provavelmente ligado ao ataque à cadeia de suprimentos Shai-Hulud, registrado em novembro e considerado de impacto “industrial”. O incidente envolveu o comprometimento da extensão de navegador da Trust Wallet, amplamente utilizada por milhões de usuários.

Com mais de 200 milhões de usuários em todo o mundo, a Trust Wallet permite armazenar, enviar e receber ativos como Bitcoin, Ethereum, Solana e milhares de outros tokens por meio de extensões de navegador e aplicativos móveis. O ataque, ocorrido em 24 de dezembro, teve início após hackers inserirem um arquivo JavaScript malicioso na versão 2.68.0 da extensão da Trust Wallet para Chrome, permitindo o roubo de dados sensíveis das carteiras e a execução de transações não autorizadas.

Vazamento de segredos de desenvolvedor abriu caminho para o ataque

Segundo a própria empresa, o vetor crítico do ataque foi a exposição de segredos de desenvolvedor no GitHub, o que concedeu aos hackers acesso ao código-fonte da extensão e à chave da API da Chrome Web Store (CWS). Com essa chave, os invasores obtiveram acesso total à API da loja, conseguindo publicar novas versões da extensão sem passar pelo processo interno padrão de aprovação e revisão manual da Trust Wallet.

Na etapa seguinte, os hackers registraram o domínio metrics-trustwallet.com e o subdomínio api.metrics-trustwallet.com, usados para hospedar código malicioso que foi incorporado diretamente à extensão oficial adulterada. Como o build foi gerado a partir do código-fonte legítimo obtido com os segredos vazados, o malware conseguiu coletar dados sensíveis das carteiras sem recorrer a técnicas tradicionais de injeção de código, tornando a detecção ainda mais difícil.

Utilizando a chave vazada da CWS, a versão 2.68 foi publicada e liberada automaticamente na loja do Chrome após passar pelas verificações da plataforma, ignorando os controles internos da empresa.

Resposta ao incidente e alertas aos usuários

Após identificar o ataque, a Trust Wallet revogou todas as APIs de release, bloqueando qualquer tentativa de publicação de novas versões comprometidas. A empresa também reportou os domínios maliciosos ao registrador NiceNIC, que os suspendeu rapidamente, impedindo novos roubos de dados.

Além disso, a Trust Wallet iniciou o processo de reembolso das vítimas e alertou sobre uma nova onda de golpes secundários. Hackers estão se passando por contas oficiais de suporte, divulgando falsos formulários de compensação e promovendo fraudes por meio de anúncios no Telegram.

Shai-Hulud: o ataque à supply chain por trás do incidente

O Shai-Hulud (também conhecido como Shai-Hulud 2.0) foi um ataque massivo à cadeia de suprimentos que explorou o ecossistema do npm, repositório que hospeda mais de 2 milhões de pacotes. Na primeira onda, em setembro, hackers comprometeram mais de 180 pacotes, utilizando um payload auto-propagável para roubar segredos de desenvolvedores e chaves de API com a ferramenta TruffleHog.

Na segunda fase, o ataque escalou rapidamente, impactando mais de 800 pacotes e adicionando 27 mil pacotes maliciosos ao npm. Ao todo, cerca de 400 mil segredos foram expostos e publicados em mais de 30 mil repositórios do GitHub, com mais de 60% dos tokens npm ainda válidos até dezembro.

Pesquisadores da Wiz alertaram recentemente que os hackers estão aperfeiçoando operações de roubo de credenciais usando o ecossistema npm e o GitHub. Segundo eles, o volume de segredos já coletados indica que novos ataques são praticamente inevitáveis, tanto com técnicas semelhantes quanto explorando os dados já roubados.

BC