Robo de 8,5 millones en Trust Wallet: ataque a la cadena de suministro mediante Shai-Hulud

Introducción

El sector de las criptomonedas vuelve a ser protagonista de un grave incidente de seguridad. Trust Wallet, una popular cartera digital, ha confirmado que la segunda oleada de la campaña de cadena de suministro Shai-Hulud (también conocida como Sha1-Hulud) fue la causante del hackeo de su extensión para Google Chrome en noviembre de 2025, lo que propició el robo de unos 8,5 millones de dólares en activos digitales. El ataque, que comprometió credenciales de desarrollo almacenadas en GitHub, ilustra el sofisticado armamento empleado actualmente por los actores de amenazas y la criticidad de proteger la cadena de suministro en entornos de desarrollo descentralizados.

Contexto del Incidente o Vulnerabilidad

La campaña Shai-Hulud representa una de las tendencias más peligrosas en ciberseguridad: la manipulación de la cadena de suministro de software. En este caso, Trust Wallet ha explicado que los atacantes lograron acceso a secretos de desarrollo almacenados en sus repositorios de GitHub. Esto permitió a los cibercriminales hacerse con el código fuente de la extensión de navegador, inyectando código malicioso y, en última instancia, facilitando la sustracción de fondos de los usuarios. El ataque no solo tuvo un impacto económico directo, sino que expuso la fragilidad de los procesos DevOps en el ecosistema Web3.

Detalles Técnicos

El incidente está asociado a la segunda oleada del malware Shai-Hulud, detectado originalmente a mediados de 2025, y rastreado en MITRE ATT&CK bajo técnicas como T1195 (Supply Chain Compromise), T1552 (Unsecured Credentials) y T1021 (Remote Services). En esta ocasión, los atacantes explotaron una vulnerabilidad en la gestión de secretos (API tokens, claves privadas y credenciales) en repositorios GitHub de Trust Wallet, probablemente mediante herramientas automatizadas de escaneo y exfiltración de secretos, como TruffleHog o GitLeaks.

Una vez obtenidos estos secretos, los atacantes accedieron al código fuente de la extensión de Trust Wallet, lo manipularon y lo desplegaron como una actualización legítima en la Chrome Web Store. El código malicioso implantado permitió la exfiltración automatizada de claves privadas y frases semilla de los usuarios afectados, empleando técnicas de C2 (Command & Control) mediante dominios ofuscados y tráfico cifrado. Se han identificado varios IoCs (Indicators of Compromise), incluyendo hashes de archivos maliciosos y dominios asociados al C2, así como artefactos empleados en frameworks de explotación como Cobalt Strike y Metasploit para el movimiento lateral y la persistencia en sistemas infectados.

Se estima que la versión maliciosa de la extensión estuvo activa durante al menos 72 horas, suficiente para comprometer a miles de usuarios y vaciar múltiples carteras de criptomonedas.

Impacto y Riesgos

El impacto inmediato del incidente asciende a unos 8,5 millones de dólares en activos robados, según cifras proporcionadas por Trust Wallet y confirmadas por análisis independientes de blockchain forense. Los riesgos derivados van más allá de la pérdida económica, afectando a la confianza del usuario y exponiendo a la empresa a sanciones regulatorias bajo GDPR, NIS2 y futuras directivas europeas sobre ciberresiliencia (CRA). El ataque subraya la creciente sofisticación de los grupos de amenazas persistentes avanzadas (APT) que operan en el ámbito de las criptomonedas y la Web3, y evidencia la necesidad de reforzar las políticas de gestión de secretos y control de versiones en entornos colaborativos como GitHub.

Medidas de Mitigación y Recomendaciones

Trust Wallet ha publicado un conjunto de recomendaciones inmediatas, entre las que destacan:

– Rotación urgente de todas las claves y secretos expuestos.
– Auditoría integral de los repositorios GitHub y uso de herramientas de escaneo automatizado para detectar filtraciones de credenciales (GitGuardian, TruffleHog…).
– Implementación obligatoria de autenticación multifactor (MFA) para todos los accesos a recursos de desarrollo.
– Segregación de privilegios y limitación de acceso a recursos críticos mediante el principio de mínimo privilegio.
– Monitorización continua de integridad de código fuente y pipelines CI/CD.
– Revisión de extensiones instaladas y restauración de carteras afectadas por parte de los usuarios.

Opinión de Expertos

Varios expertos en ciberseguridad, como Pablo San Emeterio (CISO y analista de amenazas), han subrayado que “la exposición de secretos en repositorios de código es uno de los errores más críticos en entornos DevOps, y debe tratarse con la máxima prioridad”. Asimismo, desde el colectivo Red Team de S21sec recalcan que “la manipulación de la cadena de suministro, especialmente en extensiones de navegador, representa un vector de ataque extremadamente rentable para los actores de amenazas, dada la dificultad de detección y la confianza implícita del usuario final”.

Implicaciones para Empresas y Usuarios

El ataque a Trust Wallet tiene profundas implicaciones para el sector. Las empresas deben revisar sus procesos de seguridad en el ciclo de vida del software, aplicar políticas estrictas de protección de secretos y auditar regularmente las integraciones con terceros. Para usuarios y organizaciones que operan con criptomonedas, se recomienda extremar la precaución ante actualizaciones no verificadas y emplear soluciones de monitorización de integridad de carteras. Además, la creciente presión regulatoria (GDPR, NIS2, CRA) obliga a las empresas a reportar incidentes y reforzar sus mecanismos de defensa.

Conclusiones

La brecha sufrida por Trust Wallet evidencia cómo los ataques a la cadena de suministro siguen evolucionando y afectando gravemente a empresas y usuarios en el ecosistema cripto. La protección de secretos y la monitorización de código fuente, junto a una cultura de seguridad DevOps, se consolidan como pilares fundamentales para mitigar riesgos y responder a las amenazas emergentes en 2025.

(Fuente: feeds.feedburner.com)