Netcrook Logo
👤 SECPULSE
🗓️ 04 Jan 2026  

Ombre dans le code : comment la campagne Shai-Hulud a détourné des millions sur Trust Wallet

Une attaque massive sur la chaîne d’approvisionnement de Trust Wallet révèle les dangers cachés qui rôdent dans l’infrastructure open source.

Tout a commencé par une infiltration silencieuse, quelques lignes de code perdues parmi des milliers, et s’est terminé par la disparition de 8,5 millions de dollars des poches numériques d’utilisateurs sans méfiance. Pendant des mois, la communauté de Trust Wallet a exigé des réponses concernant le vol audacieux qui a frappé plus de 2 500 portefeuilles. Aujourd’hui, la société a enfin nommé le coupable : une campagne cybercriminelle sophistiquée connue sous le nom de Shai-Hulud, qui a transformé en armes les fondations mêmes de l’écosystème logiciel.

En bref

  • Plus de 8,5 millions de dollars en cryptomonnaies volés à plus de 2 500 utilisateurs de Trust Wallet.
  • L’attaque faisait partie de la campagne Shai-Hulud, une vaste compromission de la chaîne d’approvisionnement visant npm et GitHub.
  • Les pirates ont obtenu l’accès au code source de l’extension Chrome de Trust Wallet et aux clés API via des secrets de développeurs divulgués.
  • Des mises à jour malveillantes de l’extension navigateur ont été diffusées, permettant le vol de données sensibles de portefeuilles et des transactions non autorisées.
  • Trust Wallet a révoqué les API compromises, bloqué les domaines malveillants et commencé à indemniser les utilisateurs affectés.

Le braquage de décembre n’était pas un événement isolé, mais bien la conséquence de l’une des plus grandes attaques sur la chaîne d’approvisionnement jamais vues dans le monde crypto. Selon l’enquête de Trust Wallet, la campagne Shai-Hulud a commencé des mois plus tôt, en ciblant l’écosystème des packages npm - un composant central du développement logiciel moderne. Au départ, les attaquants ont compromis environ 180 packages npm, mais à mesure que l’opération prenait de l’ampleur, plus de 27 000 bibliothèques malveillantes se sont propagées dans l’écosystème, infectant des milliers de projets de développeurs hébergés sur GitHub.

La stratégie des attaquants s’est révélée terriblement efficace. En empoisonnant des packages open source largement utilisés par les développeurs, ils ont pu dérober des clés d’authentification, des jetons d’accès et des données confidentielles issues d’innombrables projets. Parmi ces secrets figuraient les identifiants nécessaires pour accéder et mettre à jour l’extension Chrome de Trust Wallet. Grâce à ce point d’appui, les pirates ont publié une version trojanisée de l’extension, qui siphonnait silencieusement les identifiants des utilisateurs et permettait des transferts de cryptomonnaies non autorisés.

Trust Wallet, d’abord réticent à relier la faille à l’attaque plus large sur npm, confirme désormais que la campagne Shai-Hulud en était la cause première. La réponse post-incident de l’entreprise a été rapide : tous les accès API liés aux mises à jour de l’extension ont été révoqués, les domaines malveillants utilisés lors de l’attaque ont été saisis et bloqués, et un programme d’indemnisation des victimes est en cours. Pourtant, l’ampleur de la compromission reste inquiétante : plus de 400 000 données sensibles ont été exposées, dont beaucoup sont restées actives longtemps après la brèche initiale.

Les chercheurs en sécurité avertissent que la sophistication technique et l’organisation derrière Shai-Hulud laissent présager de nouvelles tentatives d’exploitation de l’open source et des infrastructures cloud. Cet incident est un signal d’alarme pour toute la communauté des développeurs : les attaques sur la chaîne d’approvisionnement ne visent pas seulement les entreprises - elles menacent tous ceux qui dépendent du code ouvert.

Alors que Trust Wallet s’efforce de rétablir la confiance et de renforcer ses défenses, la campagne Shai-Hulud fait office d’avertissement : dans un monde où le code est partagé et réutilisé, une seule fuite peut se transformer en catastrophe. La bataille pour la sécurité numérique ne se joue plus à la périphérie - elle est tissée dans chaque ligne de code.

WIKICROOK

  • Attaque sur la chaîne d’approvisionnement : Une attaque sur la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou de matériels de confiance, propageant des malwares ou des vulnérabilités à de nombreuses organisations en même temps.
  • npm : npm est une bibliothèque centrale en ligne où les développeurs partagent, mettent à jour et gèrent des packages de code JavaScript pour construire des logiciels de manière efficace et sécurisée.
  • Clé API : Une clé API est un code unique qui permet à des programmes d’accéder à des données ou des services. Si elle n’est pas correctement sécurisée, elle peut représenter un risque pour la cybersécurité.
  • Extension trojanisée : Une extension trojanisée est un module complémentaire de navigateur légitime secrètement modifié pour inclure du code malveillant, souvent utilisé pour voler des données ou compromettre la sécurité des utilisateurs.
  • Systèmes CI/CD : Les systèmes CI/CD automatisent la construction, les tests et le déploiement des logiciels, permettant des sorties plus rapides et une sécurité accrue dans les chaînes de développement.
Trust Wallet Shai-Hulud Supply Chain Attack
SECPULSE SECPULSE
SOC Detection Lead
← Back to news