Trust Wallet pense que la compromission de son navigateur Web pour voler environ 8,5 millions de dollars sur plus de 2 500 portefeuilles cryptographiques est probablement liée à une attaque Sha1-Hulud « à l’échelle de l’industrie » en novembre.
Trust Wallet, un portefeuille cryptographique utilisé par plus de 200 millions de personnes, permet aux utilisateurs de stocker, d’envoyer et de recevoir des Bitcoins, Ethereum, Solana et des milliers d’autres crypto-monnaies et jetons numériques via une extension de navigateur Web et des applications mobiles gratuites.
Comme l’a précédemment rapporté Breachtrace, cet incident du 24 décembre a entraîné le vol de millions de dollars en crypto-monnaie dans les portefeuilles compromis des utilisateurs de portefeuilles de confiance.
Cela s’est produit après que des attaquants ont ajouté un fichier JavaScript malveillant à la version 2.68.0 de l’extension Chrome de Trust Wallet, qui a volé des données sensibles du portefeuille et a permis aux acteurs de la menace d’exécuter des transactions non autorisées.
« Les secrets de notre développeur GitHub ont été exposés lors de l’attaque, ce qui a permis à l’attaquant d’accéder au code source de notre extension de navigateur et à la clé API Chrome Web Store (CWS) », a déclaré la société dans une mise à jour mardi.
« L’attaquant a obtenu un accès complet à l’API CWS via la clé divulguée, permettant de télécharger directement les builds sans le processus de publication standard de Trust Wallet, qui nécessite une approbation interne/un examen manuel. »
Comme Trust Wallet l’a expliqué, à l’étape suivante de l’attaque, l’auteur de la menace a enregistré le domaine metrics-trustwallet.com et le sous-domaine api.metrics-trustwallet.com pour héberger du code malveillant, qui a ensuite été référencé dans une version cheval de Troie de l’extension Trust Wallet.
La version modifiée de l’extension officielle a été construite à l’aide du code source obtenu via des secrets de développeur GitHub exposés, permettant à l’attaquant d’intégrer du code malveillant collectant des données sensibles du portefeuille sans injection de code traditionnelle.
À l’aide d’une clé CWS divulguée, l’attaquant a publié la version 2.68 sur le Chrome Web Store, qui a été automatiquement publiée après avoir passé l’examen, contournant les processus d’approbation internes de Trust Wallet.
En réponse à l’incident, Trust Wallet a révoqué toutes les API de publication pour bloquer les tentatives de publication de nouvelles versions et s’est assuré que les pirates ne pouvaient pas voler de données de portefeuille supplémentaires en signalant les domaines malveillants au registraire NiceNIC, qui les a rapidement suspendus.
Trust Wallet a également commencé à rembourser les utilisateurs concernés et les a avertis que des acteurs de la menace usurpaient actuellement l’identité de comptes de support Trust Wallet, utilisaient de faux formulaires de compensation et exécutaient des escroqueries via des publicités Telegram.
La campagne contre les logiciels malveillants Shai-Hulud
Sha1-Hulud (également connu sous le nom de Shai-Hulud 2.0) était une attaque de la chaîne d’approvisionnement ciblant le registre des logiciels npm, qui répertorie plus de 2 millions de packages.
Lors de l’épidémie initiale de Shai-Hulud début septembre, les auteurs de menaces ont compromis plus de 180 packages npm à l’aide d’une charge utile auto-propagée et l’ont utilisée pour voler des secrets de développeur et des clés API avec l’outil TruffleHog.
Shai-Hulud 2.0 a connu une croissance exponentielle et a eu un impact sur plus de 800 packages après avoir ajouté plus de 27 000 packages malveillants au référentiel npm qui utilisaient du code malveillant pour collecter les secrets des développeurs et CI/CD et les publier sur GitHub.
Au total, Sha1-Hulud a exposé environ 400 000 secrets bruts et publié des données volées sur plus de 30 000 référentiels GitHub, avec plus de 60% des jetons NPM divulgués encore valides au 1er décembre.
« Les attaquants perfectionnent les opérations de récolte des informations d’identification à l’aide de l’écosystème npm et de GitHub », ont averti les chercheurs en sécurité de Wiz le mois dernier.
« Compte tenu de la sophistication et du succès croissants des attaquants jusqu’à présent, nous prévoyons des attaques continues, à la fois en utilisant des TTP similaires et en exploitant les informations d’identification récoltées à ce jour. »