Extensión de Trust Wallet para Chrome comprometida en ataque de cadena de suministro Shai‑Hulud; robo de ~8,5 M$

enero 1, 2026

Extensión de Trust Wallet para Chrome comprometida en ataque de cadena de suministro Shai‑Hulud; robo de ~8,5 M$

Resumen del incidente

Trust Wallet anunció el martes que la segunda iteración del brote de cadena de suministro denominado Shai‑Hulud (también referido como Sha1‑Hulud) en noviembre de 2025 fue probablemente responsable del compromiso de su extensión para Google Chrome, que derivó en el robo de aproximadamente 8,5 millones de dólares en activos digitales.

«Nuestros Developer GitHub secrets fueron expuestos en el ataque, lo que dio al atacante acceso al browser extension source».

La compañía explicó que la exposición de secretos de GitHub de sus desarrolladores permitió al atacante acceder al código fuente de la extensión del navegador. Trust Wallet no ha publicado públicamente todos los detalles técnicos del vector exacto de explotación al cierre de esta nota, pero atribuye el incidente a la mencionada cadena de suministro.

Por qué importa: contexto y antecedentes

Las extensiones de navegador para wallets de criptomonedas actúan como puertas de acceso directo a claves privadas y firmas de transacciones: cualquier modificación maliciosa en su código puede interceptar aprobaciones, reemplazar direcciones de destino o inyectar interfaces de phishing, lo que facilita el saqueo automático de fondos. Por eso los compromisos de este tipo suelen provocar pérdidas significativas en poco tiempo.

Un ataque de cadena de suministro se produce cuando un adversario corrompe algún componente, herramienta o proceso en la cadena de desarrollo o distribución de software —por ejemplo, repositorios, dependencias, pipelines de integración continua o servidores de actualización— y así logra impactar a todos los usuarios finales que confían en ese componente. Casos de alto perfil como SolarWinds (2020) y 3CX (2023) demostraron que incluso proveedores legítimos pueden convertirse en vectores de gran alcance.

Análisis técnico y comentario experto para profesionales

  • Mecanismo probable: la combinación de secretos de GitHub expuestos y acceso al código fuente facilita a un atacante insertar una actualización maliciosa en la extensión o alterar el proceso de construcción/firmado, de modo que la siguiente actualización legítima distribuida por el navegador incluya código de exfiltración o manipulación de transacciones.
  • Por qué los secretos son críticos: tokens y claves con permisos de push, acceso a pipelines o a repositorios privados permiten saltarse controles de revisión y desplegar cambios sin la intervención humana esperada. Incluso tokens con permisos parciales pueden ser pivotables para escalar privilegios.
  • Controles que fallaron o estuvieron ausentes: la exposición de secrets sugiere falta de rotación o de políticas de expiración de tokens, ausencia de revisión del uso de credenciales en CI, y potencialmente pipelines que confían en credenciales persistentes para firmar artefactos. También puede indicar que no se aplicaron firmas reproducibles o verificaciones independientes de los binarios publicados.
  • Respuesta técnica inmediata recomendada (prácticos):
    • Revocar inmediatamente todos los tokens y claves expuestos y forzar la rotación de secretos.
    • Detener las publicaciones automáticas y retirar la extensión comprometida de los canales públicos hasta asegurar el binario y la cadena de custodia.
    • Revisar el historial de commits y las pipelines de CI/CD para detectar commits o artefactos no autorizados; preservar registros para forense.
    • Rebuild en entorno limpio con el control de cambios auditable y firmas reproducibles; publicar hashes y pasos de verificación para que terceros puedan validar.

Casos comparables y tendencias

Los ataques a la cadena de suministro han pasado de ser ataques sofisticados puntuales a un vector recurrido tanto por grupos patrocinados como por bandas criminales monetizadas. SolarWinds y 3CX son ejemplos donde una actualización legítima distribuida a miles de clientes fue usada para ejecutar código malicioso a gran escala. En el ecosistema cripto, las extensiones y bibliotecas de dependencias han sido un objetivo frecuente: comprometer una librería o un repositorio de paquete puede traducirse rápidamente en pérdidas de fondos para usuarios finales.

Aunque las cifras totales varían por año y fuente, los incidentes de seguridad que involucran componentes de la cadena de suministro y wallets han ocasionado cientos de millones de dólares en pérdidas en años recientes; esto refleja tanto el aumento del valor custodiado en entornos DeFi como la sofisticación de los atacantes que aprovechan la confianza en procesos de desarrollo y actualización automática.

Riesgos, implicaciones y recomendaciones accionables

Implicaciones inmediatas:

  • Perjuicio financiero directo para usuarios afectados; erosionamiento de la confianza en el proveedor y en extensiones de navegador como método seguro de custodia.
  • Mayor escrutinio regulatorio sobre prácticas de seguridad de proveedores de wallets y servicios de custodia.
  • Riesgo de ataques secundario: una vez comprometida una extensión, los atacantes pueden usarla para distribuir malware adicional, cultivar información para más campañas de spear-phishing o vender accesos en mercados clandestinos.

Recomendaciones por audiencia:

  • Desarrolladores y equipos de seguridad:
    • Implementar escaneo automático de secretos (GitHub Secret Scanning, herramientas tipo TruffleHog), rotación periódica de credenciales y expiración de tokens.
    • Adoptar pipeline de CI sin credenciales persistentes: usar OIDC y short‑lived credentials, roles de servicio y principios de menor privilegio.
    • Firmar artefactos y publicar procesos de build reproducible para que terceros puedan verificar la integridad.
    • Aplicar revisiones de dependencia (SCA) y proteger el acceso a repositorios con MFA y políticas de aprobaciones obligatorias para merges a ramas de release.
  • Proveedores de extensiones y marketplaces (Google/Chrome Web Store):
    • Reforzar requisitos de auditoría para extensiones que manejan llaves o fondos; habilitar controles de despliegue canario y verificaciones adicionales para actualizaciones críticas.
    • Mejorar los procesos de revelado de compromisos y mecanismos rápidos de retirada o reversión de extensiones comprometidas.
  • Usuarios de wallets y holders de criptoactivos:
    • Usar hardware wallets o soluciones de custodia con múltiples firmas para fondos significativos; limitar el uso de extensiones para montos altos.
    • Verificar comunicaciones oficiales del proveedor antes de aceptar actualizaciones críticas; desconfiar de solicitudes de firma inusuales.
    • Monitorear actividad de cuenta y considerar mover activos a direcciones nuevas si se sospecha compromiso.

Conclusion

El incidente de Trust Wallet subraya que la seguridad en la cadena de suministro es un requisito esencial para cualquier software que gestione activos financieros. La exposición de secretos de desarrollo y el posible acceso al código fuente muestran cómo una sola falla operativa puede traducirse en pérdidas multimillonarias y en daño reputacional significativo. Las medidas preventivas —rotación de credenciales, pipelines más seguros, build reproducible, y controles de distribución— son prácticas maduras y alcanzables que deben ser prioritarias para proveedores de wallets, marketplaces de extensiones y desarrolladores.

Source: thehackernews.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

Grupo vinculado a China (UNC3886) comprometió a las cuatro mayores telcos de Singapur
Noticias Ciberseguridad
Tirith: nueva herramienta open-source que bloquea ataques por homógrafos en la línea de comandos
Noticias Ciberseguridad
Operación «Shadow Campaigns»: actor estatal apunta a infraestructuras gubernamentales en 155 países
Noticias Ciberseguridad
Marco AitM «DKnife» vinculado a China apunta a routers para secuestrar tráfico y desplegar malware
Noticias Ciberseguridad