We wtorek firma Trust Wallet ujawniła, że drugi w kolejności incydent związany z kampanią Shai‑Hulud (znaną też jako Sha1‑Hulud), który miał miejsce w listopadzie 2025 r., najprawdopodobniej doprowadził do przejęcia jej rozszerzenia dla przeglądarki Google Chrome i kradzieży aktywów o wartości około 8,5 mln USD (około 36,6 mln zł).
W opublikowanym post‑mortem firma poinformowała, że atakujący uzyskali dostęp do tajemnic deweloperskich przechowywanych w repozytoriach GitHub. Wykradzione dane umożliwiły dostęp do kodu źródłowego rozszerzenia oraz do klucza API Sklepu Chrome (Chrome Web Store, CWS).
Dzięki uzyskanemu kluczowi atakujący zdobyli pełny dostęp do API CWS, co pozwoliło im na przesyłanie zainfekowanych wersji rozszerzenia bez przechodzenia przez standardowy proces wydawniczy Trust Wallet, który wymaga wewnętrznej akceptacji i ręcznej weryfikacji.
Po przejęciu kontroli nad procesem dystrybucji napastnicy zarejestrowali domenę „metrics-trustwallet[.]com” i umieścili trojanizowaną wersję rozszerzenia, która łączyła się z subdomeną „api.metrics-trustwallet[.]com”. Wersja ta zawierała tylne drzwi pozwalające na wykradanie fraz mnemonicznych użytkowników — kluczowych danych służących do odtworzenia portfeli kryptowalutowych.
Kilka dni później, 24 grudnia 2025 r., nieznani sprawcy opublikowali złośliwą aktualizację (wersja 2.68) w sklepie z rozszerzeniami Chrome. W efekcie Trust Wallet zaapelował do około miliona użytkowników rozszerzenia, by natychmiast zaktualizowali je do wersji 2.69, która naprawiała problem.
Skutkiem incydentu było odpompowanie aktywów o wartości 8,5 mln USD z 2 520 adresów portfeli do co najmniej 17 adresów kontrolowanych przez napastników. Pierwsze publiczne zgłoszenia o wypływach pojawiły się dzień po opublikowaniu złośliwej aktualizacji.
Trust Wallet uruchomił proces składania roszczeń rekompensacyjnych dla poszkodowanych. Firma podkreśla, że rozpatrywanie zgłoszeń odbywa się indywidualnie i może trwać różnie długo, ponieważ konieczne jest rozróżnienie rzeczywistych ofiar od potencjalnych oszustów oraz zabezpieczenie procesu przed nadużyciami.
Jako środki zapobiegawcze Trust Wallet wdrożył dodatkowe mechanizmy monitoringu i kontrolę powiązaną z procesami wydawniczymi, mające ograniczyć ryzyko powtórzenia podobnych naruszeń.
W szerszym kontekście Shai‑Hulud to atak na łańcuch dostaw oprogramowania, który wpływa na firmy z różnych sektorów, w tym branżę kryptowalut. Polega on na wprowadzeniu złośliwego kodu do powszechnie używanych narzędzi deweloperskich, co pozwala napastnikom dostać się do systemów przez zaufane zależności zamiast bezpośrednio atakować poszczególne organizacje.
Równocześnie badacze z Upwind zauważyli pojawienie się Shai‑Hulud 3.0 — wersji z silniejszą obfuskacją i usprawnieniami niezawodności, która wciąż koncentruje się na kradzieży sekretów przechowywanych na maszynach deweloperskich. Według badaczy Guy’a Gilada i Moshe Hassana główne zmiany dotyczą zaciemniania łańcuchów tekstowych, obsługi błędów i kompatybilności z Windows, co ma wydłużyć żywotność kampanii, a nie wprowadzać nowe techniki eksploatacji.