Dentro il crollo di Trust Wallet: come un sabotatore della supply chain ha saccheggiato milioni

La vigilia di Natale 2025, un furto silenzioso si è consumato nei corridoi oscuri del mondo crypto. Mentre milioni di persone si preparavano alle festività, un aggiornamento malevolo si è insinuato silenziosamente nell’estensione Chrome di Trust Wallet - lanciato non dall’azienda, ma da una mano invisibile che si era infiltrata nel cuore stesso del loro processo di sviluppo. Quando la violazione è stata scoperta, oltre 8,5 milioni di dollari in asset digitali erano già spariti da migliaia di wallet, lasciando una scia di devastazione digitale e una comunità crypto scossa che chiedeva risposte.

La violazione risale alla seconda ondata dell’attacco alla supply chain Shai-Hulud - una campagna che perseguita gli sviluppatori software dalla fine del 2025. A differenza degli attacchi tipici che puntano a password deboli o al phishing, questo colpo ha colpito il cuore stesso dell’ecosistema di sviluppo di Trust Wallet. Esposti i segreti riservati di GitHub, gli attaccanti hanno ottenuto un accesso senza precedenti: non solo al codice sorgente dell’estensione, ma anche alla chiave API del Chrome Web Store (CWS). Questa credenziale critica ha permesso loro di caricare build malevole direttamente sul marketplace di Chrome, aggirando ogni revisione e approvazione interna.

Gli attaccanti non si sono fermati qui. Hanno registrato un dominio simile, “metrics-trustwallet[.]com”, e hanno convogliato le frasi mnemoniche dei wallet degli utenti ignari - di fatto le chiavi maestre dei loro fondi crypto - tramite una backdoor nascosta. L’aggiornamento malevolo (versione 2.68) è stato rilasciato il 24 dicembre e, nel giro di un giorno, sono emerse le prime segnalazioni di wallet svuotati. In totale, i fondi di 2.520 vittime sono stati dirottati verso 17 indirizzi controllati dal gruppo criminale, tutto prima che la maggior parte degli utenti si accorgesse di qualcosa.

Trust Wallet ha risposto invitando gli utenti ad aggiornare alla versione 2.69 e lanciando un programma di rimborso. Ma il danno era ormai fatto. L’azienda si trova ora ad affrontare il difficile compito di distinguere le vere vittime dagli opportunisti, lavorando al contempo per prevenire future violazioni. La loro risposta include un monitoraggio rafforzato e controlli di rilascio più severi, ma l’incidente ha gettato una luce cruda sulle vulnerabilità nascoste nella supply chain del software - un rischio che va ben oltre il mondo crypto.

Con l’evoluzione del malware Shai-Hulud - ora giunto alla sua terza versione, ancora più elusiva - gli esperti di sicurezza avvertono che il vero pericolo sta nella sua capacità di sfruttare strumenti di sviluppo affidabili, trasformando i meccanismi pensati per proteggerci in armi. Per gli utenti crypto, l’attacco a Trust Wallet è un monito inquietante: nel Far West digitale, la fiducia è una valuta fragile quanto qualsiasi altra.

WIKICROOK

• Attacco alla Supply Chain: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
• GitHub Secrets: I GitHub Secrets conservano in modo sicuro credenziali riservate, come chiavi API o token, per l’uso nei workflow, proteggendo i dati sensibili nel tuo repository.
• Chiave API del Chrome Web Store (CWS): Una chiave API CWS è una credenziale unica che permette agli sviluppatori di gestire e aggiornare in sicurezza le estensioni del browser Chrome tramite l’API del Chrome Web Store.
• Frase Mnemonica: Una frase mnemonica è una sequenza di parole che consente agli utenti di recuperare l’accesso ai propri wallet di criptovalute in caso di perdita della password o del dispositivo.
• Aggiornamento Trojanizzato: Un aggiornamento trojanizzato è un aggiornamento software legittimo modificato di nascosto per includere malware, permettendo agli attaccanti di compromettere i sistemi durante il processo di aggiornamento.