Trust Wallet reveló el martes que la segunda iteración del brote de la cadena de suministro de Shai-Hulud (también conocido como Sha1-Hulud) en noviembre de 2025 fue probablemente responsable del pirateo de su extensión de Google Chrome, lo que finalmente resultó en el robo de aproximadamente $8,5 millones en activos.
«Nuestros secretos de desarrollador GitHub quedaron expuestos en el ataque, lo que le dio al atacante acceso al código fuente de la extensión de nuestro navegador y a la clave API de Chrome Web Store (CWS)», dijo la compañía en una autopsia publicada el martes.
«El atacante obtuvo acceso completo a la API de CWS a través de la clave filtrada, lo que permitió que las compilaciones se cargaran directamente sin el proceso de lanzamiento estándar de Trust Wallet, que requiere aprobación interna/revisión manual».
Posteriormente, se dice que el atacante registró el dominio «metrics-trustwallet(.)com» y envió una versión troyanizada de la extensión con una puerta trasera que es capaz de recopilar frases mnemónicas de la billetera de los usuarios en el subdominio «api.metrics-trustwallet(.)com».
La divulgación se produce días después de que Trust Wallet instó a alrededor de un millón de usuarios de su extensión de Chrome a actualizar a la versión 2.69 después de que actores de amenazas desconocidos enviaran una actualización maliciosa (versión 2.68) el 24 de diciembre de 2025 al mercado de extensiones del navegador.
El incidente de seguridad finalmente provocó que 8,5 millones de dólares en activos de criptomonedas se drenaran de 2.520 direcciones de billetera a no menos de 17 direcciones de billetera controladas por el atacante. La primera actividad de drenaje de billetera se informó públicamente un día después de la actualización maliciosa.
Desde entonces, Trust Wallet ha iniciado un proceso de reclamación de reembolso para las víctimas afectadas. La compañía señaló que las revisiones de las reclamaciones presentadas están en curso y se están manejando caso por caso. También enfatizó que los tiempos de procesamiento pueden variar con cada caso debido a la necesidad de distinguir entre víctimas y malos actores, y proteger aún más contra el fraude.
Para evitar que tales violaciones vuelvan a ocurrir, Trust Wallet dijo que ha implementado capacidades de monitoreo y controles adicionales relacionados con sus procesos de liberación.
«Sha1-Hulud fue un ataque a la cadena de suministro de software en toda la industria que afectó a empresas de múltiples sectores, incluido, entre otros, el cripto», dijo la compañía. «Implicaba la introducción y distribución de código malicioso a través de herramientas de desarrollo de uso común. Esto permitió a los atacantes obtener acceso a través de dependencias de software confiables en lugar de apuntar directamente a organizaciones individuales».
La divulgación de Trust Wallet coincide con la aparición de Shai-Hulud 3.0 con una mayor ofuscación y mejoras de confiabilidad, sin dejar de estar enfocado en robar secretos de las máquinas de los desarrolladores.
«La principal diferencia radica en la ofuscación de cadenas, el manejo de errores y la compatibilidad con Windows, todo ello destinado a aumentar la longevidad de la campaña en lugar de introducir nuevas técnicas de explotación», dijeron los investigadores de Upwind Guy Gilad y Moshe Hassan.