A Trust Wallet revelou novos detalhes sobre o incidente de segurança que comprometeu a sua extensão de navegador, sugerindo que o ataque está intrinsecamente ligado a uma campanha de malware em larga escala que varreu a indústria em novembro.
O incidente, que ocorreu a 24 de dezembro, resultou no roubo de aproximadamente 8 milhões de euros (8,5 milhões de dólares) em criptomoedas de mais de 2.500 carteiras digitais. A falha de segurança afetou a versão 2.68.0 da extensão para o navegador Google Chrome, onde foi injetado código malicioso capaz de exfiltrar dados sensíveis e autorizar transações não autorizadas.
Segredos do GitHub expostos e a "chave" para o ataque
Segundo a explicação técnica fornecida pela empresa, a origem da brecha reside na exposição de segredos de desenvolvimento no GitHub. Esta fuga permitiu aos atacantes o acesso direto ao código-fonte da extensão e, crucialmente, à chave da API da Chrome Web Store (CWS).
Com esta chave em sua posse, o atacante conseguiu contornar completamente os processos internos de revisão e aprovação da Trust Wallet. Isto permitiu o envio direto de uma versão "trojanizada" da extensão para a loja oficial do Chrome, a qual foi automaticamente aprovada pelos sistemas da Google e distribuída aos utilizadores.
Esta versão adulterada continha um ficheiro JavaScript malicioso que enviava os dados das carteiras para um domínio controlado pelos atacantes (metrics-trustwallet.com), criado especificamente para esta operação.
A ligação ao malware Sha1-Hulud
A Trust Wallet acredita que este compromisso não foi um evento isolado, mas sim parte de uma campanha mais vasta denominada "Sha1-Hulud" (ou Shai-Hulud 2.0). Esta campanha de ataque à cadeia de fornecimento (supply chain) teve como alvo o registo de software npm, afetando milhares de pacotes.
O malware utilizado nesta campanha foi desenhado para recolher segredos de programadores e chaves de API, publicando-os posteriormente em repositórios públicos, o que coincide com o método utilizado para comprometer a Trust Wallet. Estima-se que a campanha Sha1-Hulud tenha exposto cerca de 400.000 segredos e afetado uma vasta parte do ecossistema de desenvolvimento.
Resposta e aviso aos utilizadores
Em resposta ao incidente, a Trust Wallet revogou todas as chaves de API comprometidas para bloquear novos lançamentos não autorizados e reportou os domínios maliciosos, que foram prontamente suspensos.
A empresa já iniciou o processo de reembolso aos utilizadores afetados, conforme detalhado na sua atualização à comunidade.
No entanto, a equipa de segurança deixa um novo alerta: existem agora agentes maliciosos a fazer-se passar por contas de suporte da Trust Wallet no Telegram e outras redes, promovendo formulários de compensação falsos para tentar enganar as vítimas uma segunda vez.
Nenhum comentário
Seja o primeiro!