Hogyan történt a támadás?
December 24-én hackerek rosszindulatú JavaScript-kódot rejtettek el a Trust Wallet Chrome-bővítményének 2.68.0-s verziójában, amely így titokban megszerezte és továbbította a tárcák bizalmas adatait. A támadók a Trust Wallet GitHubon tárolt fejlesztői titkait is megszerezték, beleértve a Chrome Web Store-hoz tartozó API-kulcsot. Ennek köszönhetően kerülte ki a rosszindulatú verzió az eredeti kiadási ellenőrzéseket, és került fel automatikusan a böngészőáruházba.
Ezután a támadók új domaineket (metrics-trustwallet.com és api.metrics-trustwallet.com) regisztráltak, ahol további rosszindulatú kódokat futtattak. Az így módosított bővítményben már láthatatlanul zajlottak az adathalászati és pénzlopási műveletek.
Védekezés és kárenyhítés
A Trust Wallet minden kiadási kulcsát azonnal visszavonta, jelentette a csaló domaineket a domainregisztrátornak, aki gyorsan letiltotta azokat. A vállalat figyelmeztette felhasználóit is, hogy csalók hamis ügyfélszolgálati fiókokat üzemeltetnek Telegramon, ahol megtévesztő kárpótlási ígéretekkel próbálnak még több adatot és pénzt kicsalni.
A Shai-Hulud támadássorozat terjedése
Ez az akció egy nagyobb, ellátásilánc-támadáshoz kapcsolódik, amely során az npm csomagregisztrynél több mint 180 csomagot fertőztek meg önreprodukáló kóddal, hogy fejlesztői titkokat és API-kulcsokat szerezzenek. Azóta több tízezer hamis csomagot tettek közzé, a támadók egyre kifinomultabb módszerekkel dolgoznak, és jelentős mennyiségű hitelesítési adatot szereztek, amelyeket jelenleg is felhasználnak újabb bűncselekményekhez.
