Selon BleepingComputer, plusieurs utilisateurs de l’extension Chrome Trust Wallet signalent que leurs portefeuilles de cryptomonnaies ont été vidés après l’installation d’une mise à jour compromise publiée le 24 décembre, déclenchant une réponse urgente de l’éditeur et des avertissements aux personnes affectées.

Les faits rapportés indiquent que l’attaque touche l’extension Chrome Trust Wallet, dont une version compromise a été diffusée via une mise à jour. Suite à son installation, des victimes ont constaté le drainage de fonds de leurs portefeuilles.

Parallèlement, BleepingComputer a observé le lancement par les attaquants d’un domaine de phishing, suggérant des activités coordonnées pour tromper les utilisateurs et amplifier l’impact.

Le 24 décembre, une mise à jour compromise de l’extension Trust Wallet pour Chrome (version 2.68.0) a entraîné le drainage de portefeuilles de cryptomonnaies pour de nombreux utilisateurs, avec des pertes estimées à plus de 6 millions de dollars.

L’extension contenait du code JavaScript malveillant permettant l’exfiltration de données sensibles, notamment les phrases de récupération (seed phrases), vers un domaine externe récemment enregistré se faisant passer pour un service d’analytics.
Cette exfiltration se déclenchait notamment lors de l’importation d’un portefeuille.

En parallèle, les attaquants ont lancé une campagne de phishing opportuniste, exploitant la panique des utilisateurs. Des domaines frauduleux imitant Trust Wallet proposaient un faux correctif de sécurité et incitaient les victimes à saisir leur seed phrase, permettant le vol immédiat des fonds.

Trust Wallet a confirmé un incident de sécurité affectant uniquement la version 2.68.0 de l’extension Chrome et a publié rapidement une version corrective (2.69). Toute seed phrase exposée doit être considérée comme définitivement compromise.

IOC observables

Extensions compromises

  • Trust Wallet Chrome Extension
    • Version affectée : 2.68.0
    • Version corrigée : 2.69

Fichiers / composants

  • 4482.js – JavaScript embarqué contenant la logique d’exfiltration

Domaines malveillants

  • api.metrics-trustwallet[.]com
  • metrics-trustwallet[.]com
  • fix-trustwallet[.]com

Indicateurs contextuels

  • Domaines récemment enregistrés
  • Même registrar utilisé pour les domaines d’exfiltration et de phishing
  • Usage abusif d’un faux endpoint « analytics »

TTPs (extraits – MITRE ATT&CK)

Accès initial

  • T1195.002 – Compromise Software Supply Chain
    Compromission d’une mise à jour légitime d’extension navigateur.

Exécution

  • T1059.007 – JavaScript
    Exécution de code JavaScript malveillant dans une extension Chrome.

Collecte d’informations

  • T1552.001 – Unsecured Credentials: Credentials In Files
    Vol de seed phrases (clés maîtresses des portefeuilles).
  • T1056 – Input Capture
    Capture de données sensibles saisies par l’utilisateur via phishing.

Exfiltration

  • T1041 – Exfiltration Over C2 Channel
    Envoi de données sensibles vers un serveur distant.

Ingénierie sociale

  • T1566.002 – Phishing: Spearphishing Link
    Faux site de correction de vulnérabilité imitant Trust Wallet.

Impact

  • T1657 – Financial Theft
    Vidage complet de portefeuilles de cryptomonnaies.

Type d’article: article de presse spécialisé visant à informer sur un incident de sécurité en cours et ses principaux éléments factuels.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/trust-wallet-chrome-extension-hack-tied-to-millions-in-losses/