Une attaque éclair a frappé Trust Wallet à Noël. Découvrez comment une mise à jour corrompue a vidé 2 500 portefeuilles via une faille invisible.
TL;DR : L’essentiel
- L’incident survenu le 24 décembre résulte d’une compromission de l’extension de navigateur, où un fichier JavaScript malveillant a permis aux attaquants de détourner environ 8,5 millions de dollars en cryptomonnaies.
- Les pirates ont exploité des secrets de développeurs GitHub exposés pour obtenir une clé API du Chrome Web Store, leur permettant de publier la mise à jour vérolée sans passer par la validation interne habituelle.
- Le code injecté ne se contentait pas d’attendre une saisie manuelle : il se déclenchait à chaque déverrouillage, biométrique ou par mot de passe, et scannait l’intégralité des portefeuilles configurés par l’utilisateur.
- L’infrastructure d’attaque renvoyait une citation de l’œuvre Dune lors des requêtes directes, liant cet acte à la vaste campagne de chaîne d’approvisionnement NPM nommée Shai-Hulud.
L’attaque, survenue en pleine trêve hivernale, révèle une préparation minutieuse ciblant les utilisateurs de l’extension Chrome de ce célèbre portefeuille crypto utilisé par des millions de personnes. Dès le déploiement de la version 2.68.0, des milliers d’utilisateurs ont vu leurs fonds siphonnés en quelques heures. Ce piratage ne repose pas sur une erreur humaine des victimes, mais sur une compromission sophistiquée de la chaîne de distribution logicielle, transformant un outil de confiance en cheval de Troie redoutable capable d’exécuter des transactions non autorisées à l’insu des propriétaires.
Secrets GitHub : Une clé API offre le contrôle total
La brèche initiale pour Trust Wallet ne s’est pas produite dans le logiciel lui-même, mais dans la gestion des accès développeurs. Selon les aveux de l’entreprise relayés par BleepingComputer, des identifiants critiques ont été exposés, offrant aux attaquants un accès complet au code source de l’extension et, surtout, à la clé API du Chrome Web Store. Cette clé a agi comme un passe-droit absolu : elle a permis aux pirates de téléverser directement la version vérolée, contournant totalement les procédures de révision manuelle et d’approbation interne de l’entreprise.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Une fois maîtres du canal de distribution, les acteurs malveillants ont enregistré un domaine trompeur ***-trustwallet.com dès le 8 décembre, préparant le terrain plus de deux semaines avant l’attaque. Cette infrastructure leur a permis d’héberger le code malveillant qui serait ensuite appelé par l’extension trojanisée, rendant la détection difficile pour les systèmes de sécurité automatisés du magasin d’applications de Google.
Faux rapport d’erreur : Le mécanisme silencieux du vol
L’analyse technique du code révèle une ingéniosité effrayante dans la méthode d’exfiltration. Contrairement aux idées reçues, il n’était pas nécessaire d’importer sa phrase de récupération (cette « clé maîtresse » composée d’une série de 12 à 24 mots aléatoires, indispensable pour restaurer l’accès à ses fonds en cas de perte) pour être vulnérable : le simple fait de déverrouiller son portefeuille suffisait. Les chercheurs ont découvert que les pirates avaient modifié le système d’initialisation des analyses SDK pour rediriger les données vers leur propre serveur.
Le détail le plus pernicieux réside dans la dissimulation des données volées aux comptes de Trust Wallet. Comme le détaille une analyse technique pointue des chercheurs en sécurité de Koi.ai, les phrases mnémoniques de 12 mots, clés ultimes des portefeuilles, étaient insérées dans un champ anodin baptisé errorMessage au sein d’un flux de données ressemblant à de la télémétrie standard. Pour un observateur externe ou un outil de surveillance réseau basique, cela ressemblait à un simple rapport de bug, alors qu’il s’agissait en réalité du transfert des clés privées. De plus, un nouveau module cryptographique a été ajouté, capable de signer des transactions de manière autonome, augmentant la surface d’attaque bien au-delà du simple vol de données.
L’ombre de Shai-Hulud : Une signature inspirée de Dune
Cette opération contre Trust Wallet ne semble pas isolée, mais s’inscrit dans une campagne plus vaste. Les enquêteurs ont établi des liens thématiques et techniques avec « Shai-Hulud », une attaque massive ayant visé le registre NPM (une immense bibliothèque publique de code open-source utilisée par les développeurs) quelques mois plus tôt.
La signature des attaquants est presque théâtrale : lorsque le serveur de commande était interrogé directement, il ne renvoyait pas une erreur standard, mais une référence à l’univers de science-fiction Dune, suggérant que « l’épice » (ici, les phrases secrètes) prolonge la vie. Cette audace, couplée à l’utilisation d’un hébergeur « bulletproof » ukrainien connu pour abriter des infrastructures cybercriminelles, dessine le portrait d’un groupe organisé et techniquement avancé, capable de compromettre des centaines de paquets logiciels pour moissonner des identifiants à grande échelle.
L’édition augmentée du meilleur essai sur le chef d’œuvre de Frank Herbert : DunenIl n’y a pas, dans tout l’Empire, de planète plus inhospitalière que Dune. Partout, des sables à perte de vue. Une seule richesse : l’épice de longue vie, née du désert, et que tout l’univers convoite.
🛒 Le lien ci-dessus est affilié : en commandant via ce lien, vous soutenez la veille DCOD sans frais supplémentaires 🙏
Face à l’ampleur des dégâts, le co-fondateur de la société mère a annoncé un remboursement intégral pour les victimes éligibles, tandis que l’entreprise a révoqué toutes les API de publication pour stopper l’hémorragie. Cet événement marque la deuxième année consécutive où une extension Chrome majeure est compromise la veille de Noël, soulignant une tendance inquiétante où les périodes de fêtes deviennent des fenêtres d’opportunité critiques pour les cybercriminels visant la chaîne d’approvisionnement logicielle.
FAQ : Comprendre les termes techniques
C’est quoi un hébergeur u0022bulletproofu0022 ?
Contrairement aux hébergeurs classiques (comme OVH ou AWS) qui respectent la loi, un hébergeur u0022blindéu0022 (bulletproof) est conçu pour ignorer les demandes de la police ou des tribunaux. Il permet aux cybercriminels de garder leurs sites malveillants en ligne sans craindre d’être déconnectés rapidement. C’est une u0022planqueu0022 numérique sécurisée pour les pirates.
C’est quoi NPM ?
NPM (Node Package Manager) est une immense bibliothèque publique où les développeurs du monde entier partagent des morceaux de code (appelés u0022paquetsu0022) pour construire des applications plus vite. C’est comme un magasin de pièces détachées gratuites pour les programmeurs. Dans cette affaire, les pirates ont glissé des pièces piégées dans les rayons de ce magasin.
C’est quoi un SDK ?
Un SDK (Software Development Kit) est une u0022boîte à outilsu0022 fournie aux développeurs pour créer des applications sur une plateforme spécifique. Imaginez une boîte de Lego fournie avec une notice pour construire un château spécifique. Ici, c’est la partie du code qui sert à analyser le fonctionnement de l’application qui a été détournée.
C’est quoi une extension trojanisée ?
Le terme vient du Cheval de Troie. C’est une extension (un petit logiciel ajouté à votre navigateur Chrome) qui semble tout à fait normale et utile en apparence (ici, un portefeuille crypto), mais qui cache à l’intérieur des u0022soldatsu0022 ennemis (du code malveillant). L’utilisateur l’installe en toute confiance, sans savoir qu’il fait entrer l’ennemi chez lui.
C’est quoi une clé API ?
Une clé API est comme un badge d’accès numérique ou un mot de passe très spécifique qui permet à deux logiciels de se parler. Dans ce cas précis, la clé API volée était le badge administrateur qui permettait de dire au magasin d’applications de Google : u0022Je suis le créateur officiel de Trust Wallet, voici une mise à jour, publie-la tout de suite.u0022
Cette veille vous a été utile ?
Un café = un mois de serveur. Aidez DCOD à rester gratuit et indépendant.
