Wiadomo jak zhackowano Trust Wallet i wykradziono użytkownikom ~$8500000

O samym ataku pisaliśmy już na sekuraku. Trust Wallet opublikował właśnie pierwsze podsumowanie incydentu. W telegraficznym skrócie:

• wyciekł klucz API umożliwiający publikację nowego rozszerzenia do Chrome
• atakujący mieli też dostęp do kodów źródłowych rozszerzenia
• jak doszło do wycieku? Operacja o ksywce Sha1-Hulud – czyli infekowanie/publikowane złośliwych pakietów npm. Jedna z takich paczek wykradła dane dostępowe do Github developera Trust Wallet:
  
  Our Developer GitHub secrets were exposed in the attack, which gave the attacker access to our browser extension source code and the Chrome Web Store (CWS) API key.

• atakujący przygotował złośliwą wersję rozszerzenia do Chrome, które wykradało środki z portfeli kryptowalutowych ofiar
• przeglądarki ofiar automatycznie zaktualizowały rozszerzenie (do wersji zainfekowanej)
• udało się wykraść ~$8500000 – które mają być zwrócone przez Trust Wallet

Podstawowe rekomendacje:

• Dla użytkowników: warto minimalizować liczbę rozszerzeń w przeglądarce
• Dla developerów: warto rozważyć ograniczenie użycia kluczy API tylko do konkretnych adresów IP (jeśli dany system na to pozwala). Pamiętajcie też, że API najczęściej “omija 2FA”

~ms