Trust Wallet将其网页浏览器扩展遭入侵导致约850万美元加密货币被盗的事件,与11月发生的"全行业性"Sha1-Hulud攻击联系起来。此次事件涉及超过2500个加密钱包。

Trust Wallet作为拥有超过2亿用户的主流加密钱包,通过网页浏览器扩展和免费移动应用,支持用户存储、发送和接收比特币、以太坊、Solana以及数千种其他加密货币和数字代币。

据BleepingComputer此前报道,这起发生在12月24日的事件导致Trust Wallet用户受损钱包中的数百万美元加密货币被盗。

攻击者在Trust Wallet Chrome扩展的2.68.0版本中添加恶意JavaScript文件后,窃取了敏感钱包数据,并使得威胁行为者能够执行未经授权的交易。

该公司在周二的更新中表示:"我们的开发者GitHub密钥在攻击中暴露,使攻击者能够访问我们的浏览器扩展源代码和Chrome Web Store(CWS)API密钥。"

"攻击者通过泄露的密钥获得了完整的CWS API访问权限,从而可以直接上传构建版本,绕过了Trust Wallet需要内部审批/人工审核的标准发布流程。"

据Trust Wallet解释,在攻击的下一阶段,威胁行为者注册了域名metrics-trustwallet.com和子域名api.metrics-trustwallet.com来托管恶意代码,这些代码后来被植入到特洛伊化的Trust Wallet扩展版本中。

该官方扩展的修改版本是使用通过暴露的GitHub开发者密钥获取的源代码构建的,使得攻击者能够嵌入恶意代码来收集敏感钱包数据,而无需进行传统的代码注入。

利用泄露的CWS密钥,攻击者向Chrome Web Store发布了2.68版本,该版本在通过审核后自动发布,绕过了Trust Wallet的内部审批流程。

作为应对措施,Trust Wallet撤销了所有发布API以阻止发布新版本的尝试,并通过向NiceNIC注册商报告恶意域名确保黑客无法窃取更多钱包数据,这些域名已被迅速暂停。

Trust Wallet已开始赔偿受影响用户,并警告他们威胁行为者目前正在冒充Trust Wallet支持账户,推送虚假赔偿表格,并通过Telegram广告进行诈骗活动。

Shai-Hulud恶意软件活动

Sha1-Hulud(也称为Shai-Hulud 2.0)是一次针对npm软件注册表的供应链攻击,该注册表列出了超过200万个软件包。

在9月初的Shai-Hulud初始爆发期间,威胁行为者使用自我传播的有效载荷入侵了超过180个npm包,并利用TruffleHog工具窃取开发者密钥和API密钥。

Shai-Hulud 2.0呈指数级增长,在向npm仓库添加超过27,000个恶意包后影响了超过800个软件包,这些恶意包使用恶意代码收集开发者和CI/CD密钥并将其发布到GitHub。

总体而言,Sha1-Hulud暴露了约40万个原始密钥,并在超过30,000个GitHub仓库中发布被盗数据,截至12月1日,超过60%泄露的NPM令牌仍然有效。

Wiz安全研究人员上月警告称:"攻击者正在利用npm生态系统和GitHub完善凭证收集操作。"

"鉴于攻击者日益复杂的手段和迄今为止的成功,我们预测将持续出现类似攻击,既使用相似的战术、技术和程序,也利用目前已收集的凭证库。"

标签: 加密货币盗窃, Trust Wallet, Shai-Hulud攻击, NPM供应链攻击, Chrome扩展安全

添加新评论