【安全资讯】Trust Wallet 将850万美元加密货币盗窃案与Shai-Hulud NPM攻击关联

概要：

在数字资产安全日益受到挑战的背景下，一起针对主流加密货币钱包的重大供应链攻击事件浮出水面。Trust Wallet，一个拥有超过2亿用户的知名加密货币钱包服务商，近期披露其浏览器扩展遭恶意篡改，导致超过2500个用户钱包被盗，损失高达850万美元。该公司认为，此次事件很可能与去年11月爆发的、影响整个软件行业的“Shai-Hulud”供应链攻击活动有关，凸显了开源软件生态和开发工具链安全性的脆弱环节。

主要内容：

攻击始于威胁行为者通过暴露的GitHub开发者密钥，获取了Trust Wallet浏览器扩展的源代码和Chrome Web Store API密钥。利用这些凭证，攻击者绕过了Trust Wallet标准的内审发布流程，直接向Chrome应用商店上传了包含恶意代码的扩展版本2.68.0。

该恶意版本中嵌入了指向攻击者注册的仿冒域名（metrics-trustwallet.com）的代码，用于窃取用户的敏感钱包数据，如私钥和助记词。与传统代码注入不同，此次攻击通过直接修改官方源代码构建恶意版本，更具隐蔽性，使得恶意交易得以在用户不知情的情况下执行。

此次事件与大规模的“Shai-Hulud”NPM供应链攻击活动相关联。该活动通过污染npm软件包注册表中的大量开源包，利用自我传播的有效载荷和TruffleHog等工具，系统性窃取开发者的密钥和API令牌。截至12月初，已有超过40万个原始密钥因此泄露。

Trust Wallet已采取应对措施，包括撤销所有发布API密钥、上报并关停恶意域名，并开始对受影响用户进行赔偿。公司同时警告用户，攻击者正冒充其官方支持渠道进行二次诈骗。此事件暴露了在依赖复杂开源供应链和自动化发布流程时，凭证管理和代码完整性的严峻挑战。