Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

Trust Wallet наконец назвал виновных в краже 8,5 миллионов долларов

Trust Wallet Shai-Hulud npm GitHub криптовалюта взлом кража данных
Trust Wallet наконец назвал виновных в краже 8,5 миллионов долларов
Trust Wallet Shai-Hulud npm GitHub криптовалюта взлом кража данных

Злоумышленники годами готовили почву для этого скрытого удара.

image

Крупная кампания по компрометации цепочек поставок, известная как Shai-Hulud, оказалась связана с недавней кражей криптовалюты на сумму около 8,5 миллионов долларов из более чем 2500 кошельков Trust Wallet. Команда компании пришла к выводу, что инцидент, произошедший в декабре, стал продолжением масштабной атаки на экосистему npm, начавшейся ещё осенью.

В ходе расследования было установлено, что атакующие получили доступ к исходному коду расширения Trust Wallet для браузера Chrome и его API-ключу для публикации обновлений. Это стало возможным благодаря утечке секретов разработчиков через GitHub, к которой привели действия участников Shai-Hulud. Используя доступ, злоумышленники загрузили вредоносную версию расширения, способную собирать чувствительные данные из кошельков пользователей и проводить несанкционированные транзакции.

Компания также подтвердила, что домены, использовавшиеся в атаках, были специально зарегистрированы для распространения вредоносного кода. Обнаруженные ресурсы были оперативно переданы регистратору и заблокированы, чтобы ограничить дальнейшее распространение угрозы. Параллельно Trust Wallet отозвал доступ ко всем API, связанным с выпуском новых версий расширения, и начал компенсацию пользователям, пострадавшим от взлома.

Кампания Shai-Hulud, на фоне которой и развивался инцидент, представляет собой один из самых масштабных известных случаев компрометации npm-пакетов. По данным специалистов, на первом этапе атаки были заражены около 180 пакетов. Позже, после перехода ко второй фазе, количество вредоносных библиотек превысило 27 тысяч. Через них происходила кража ключей и секретов разработчиков, а полученные данные размещались в тысячах репозиториев на GitHub.

Всего было скомпрометировано около 400 тысяч конфиденциальных данных, включая токены доступа и ключи CI/CD-систем. Причём значительная их часть оставалась активной спустя месяцы после атаки. По оценке исследовательских команд, уровень организации и техническая сложность Shai-Hulud позволяет говорить о дальнейших попытках эксплуатации экосистем npm и GitHub, а также использовании уже собранной базы украденных данных.

Trust Wallet, ранее не связывавший произошедшее напрямую с атакой на цепочку поставок, теперь подчёркивает, что действия злоумышленников были частью общей кампании, затронувшей широкое сообщество разработчиков. Это подтверждает опасения относительно последствий утечек, вызванных заражением инфраструктурных компонентов с открытым кодом.