Quelques jours après le braquage de plusieurs milliers de crypto wallets, Trust Wallet a commencé à livrer sa version des faits. Le piratage de son extension Chrome pourrait être lié à une attaque visant non pas le module lui-même, mais les outils utilisés pour le développer et le distribuer.
Le piratage de l’extension Chrome de Trust Wallet, révélé fin décembre, n’avait rien d’un incident isolé. Dans une mise au point publiée début janvier, l’éditeur a expliqué que l’attaque trouvait son origine en amont, du côté de ses outils de développement. Il l’a rattachée à Shai Hulud (sha1-hulud), une campagne malveillante menée à l’automne dernier contre l’écosystème open source, au cours de laquelle des secrets techniques avaient été dérobés dans des environnements de développement et d’intégration continue. Parmi ces données figuraient le code source de l’extension et la clé permettant de publier des mises à jour sur le Chrome Web Store.
Une compromission en amont de la chaîne de développement
Selon Trust Wallet, la version 2.68 de l’extension n’était pas une mise à jour légitime sabotée après coup, mais bien une version montée de A à Z par l’attaquant. Ce dernier s’est appuyé sur le code source de l’extension, récupéré en novembre dans les dépôts GitHub de l’entreprise lors de la campagne Shai Hulud, pour développer une extension en apparence conforme, à laquelle il a simplement ajouté une porte dérobée chargée de collecter les données des portefeuilles.
Derrière le nom de Shai Hulud, on retrouve une série d’attaques ayant compromis des paquets npm et exposé des secrets techniques appartenant à plusieurs organisations, dont Trust Wallet. Parmi ces données figuraient le code de l’extension et la clé API utilisée pour soumettre des versions au Chrome Web Store. Avec ces deux éléments en main, il n’était plus nécessaire de forcer quoi que ce soit côté infrastructure, il suffisait d’emprunter le même chemin que les développeurs et développeuses.
En décembre, l’attaquant a enregistré un domaine et un sous-domaine imitant ceux utilisés par Trust Wallet afin d’y héberger du code malveillant. Il a ensuite assemblé une nouvelle version de l’extension à partir d’un code existant, ajouté une référence à ce domaine et soumis la version 2.68 au Chrome Web Store en utilisant la clé compromise. La revue automatisée a validé la version, qui a été publiée comme une mise à jour officielle, sans que le processus interne de validation de Trust Wallet ne soit sollicité.
Depuis, Trust Wallet a publié une nouvelle version saine de son extension (2.69), annoncé le remboursement des victimes, mis en place une procédure d’indemnisation, révoqué l’ensemble de ses API de publication pour empêcher tout nouveau déploiement non autorisé et commencé à renforcer ses pratiques de sécurité, de la gestion des identifiants aux contrôles de publication.
Source : Trust Wallet
