Đánh cắp 8,5 triệu USD

Vụ việc được phát hiện vào ngày 25/12, khi Trust Wallet thông báo tin tặc đã nhắm mục tiêu vào khách hàng sử dụng phiên bản 2.68 của tiện ích mở rộng trình duyệt Chrome.

Trong một báo cáo phân tích sau sự cố, công ty ví tiền điện tử tiết lộ các tin tặc phát tán các phiên bản độc hại của tiện ích mở rộng vào ngày 24/12, đồng thời nhấn mạnh tất cả người dùng đã đăng nhập vào tài khoản của họ từ ngày 24 - 26/12/2025 bằng tiện ích này đều bị ảnh hưởng.

“Chúng tôi xác định 2.520 địa chỉ ví bị ảnh hưởng bởi sự cố này và bị tin tặc rút sạch, với khoảng 8,5 triệu USD tài sản bị ảnh hưởng, có thể liên quan đến 17 địa chỉ ví do tin tặc kiểm soát”, Trust Wallet cho biết.

Công ty cho biết sẽ hoàn trả tiền cho tất cả người dùng bị ảnh hưởng bởi sự cố, lưu ý rằng các địa chỉ ví không liên kết với Trust Wallet cũng đã bị rút tiền và chuyển đến địa chỉ của kẻ tấn công đã được xác định.

Trust Wallet tiết lộ vụ tấn công chuỗi cung ứng Shai-Hulud nhắm vào người dùng NPM là nguyên nhân gốc rễ của vụ đánh cắp quy mô này. Trong sự cố, thông tin secret của GitHub dành cho nhà phát triển đã bị rò rỉ, cho phép kẻ tấn công truy cập vào mã nguồn và khóa API của Chrome Web Store.

Các tác nhân đe dọa đã chuẩn bị một phiên bản độc hại của tiện ích mở rộng trình duyệt Chrome của Trust Wallet và sử dụng khóa API bị rò rỉ để phát hành nó ngoài quy trình phát hành tiêu chuẩn. Ngoài ra, kẻ tấn công cũng đăng ký một tên miền chứa mã độc mà tiện ích mở rộng sẽ truy xuất để thu thập dữ liệu ví điện tử nhạy cảm của người dùng, cho phép chúng thực hiện các giao dịch gian lận.

Tất cả người dùng Trust Wallet hiện được khuyến cáo nên cập nhật lên phiên bản 2.69 của tiện ích mở rộng Chrome càng sớm càng tốt.

Một tháng lây nhiễm Shai-Hulud 2.0

Trust Wallet chia sẻ: “Sha1-Hulud là một cuộc tấn công chuỗi cung ứng phần mềm trên diện rộng, ảnh hưởng đến các công ty thuộc nhiều lĩnh vực, bao gồm nhưng không giới hạn ở lĩnh vực tiền điện tử”.

Thực tế, Shai-Hulud là một loại worm máy tính tự nhân bản, lần đầu tiên nhắm mục tiêu vào hệ sinh thái NPM vào tháng 9/2025, nhằm rò rỉ thông tin nhạy cảm của nạn nhân vào các kho lưu trữ GitHub được tạo tự động.

Đợt bùng phát thứ hai của loại worm máy tính này, được đặt tên là Shai-Hulud 2.0 và Sha1-Hulud, xảy ra vào cuối tháng 11. Chỉ trong vài ngày, hơn 640 gói NPM đã bị lây nhiễm mã độc, tạo ra hơn 25.000 kho lưu trữ rò rỉ dữ liệu vào thời điểm đỉnh điểm ngày 24/11.

Việc loại bỏ hoàn toàn không thể thực hiện ngay, chủ yếu là do tiện ích mở rộng OpenVSX asyncapi-preview 1.0.1 bị nhiễm không được tự động cập nhật do thiếu phiên bản cao hơn. Các gói bí mật và gói được lưu trong bộ nhớ cache bị nhiễm mã độc cũng là tác nhân trong việc lây lan diện rộng này.

Tuy nhiên, sau khi nhóm AsyncAPI phát hành phiên bản 1.1.0 của tiện ích mở rộng OpenVSX của họ, số lượng kho lưu trữ mới đã giảm xuống đáng kể vào ngày 29/12.

Tính đến nay, công ty bảo mật đám mây Wiz đã xác định được hơn 12.000 máy tính bị xâm nhập riêng biệt và hơn 29.000 kho lưu trữ làm lộ dữ liệu của nạn nhân. “Một tháng sau sự cố, quá trình khắc phục vẫn còn khá lâu mới hoàn tất. Mặc dù các token đối với các nền tảng (NPM/GitHub) đã bị thu hồi, nhưng cơ sở hạ tầng quan trọng và thông tin xác thực AI vẫn còn bị ảnh hưởng”, Wiz lưu ý.

Sự xuất hiện của Shai-Hulud 3.0

Tệ hơn nữa, ngay sau khi số trường hợp lây nhiễm giảm xuống gần như chấm dứt, một biến thể mới của loại worm này lại xuất hiện.

Vào ngày 28/12/2025, Aikido đã phát hiện ra phiên bản phần mềm độc hại mới bên trong gói @vietmoney/react-big-calendar, lưu ý rằng một lỗi lập trình có thể đã ngăn chặn sự lây lan trên diện rộng của worm máy tính như trước đây.

Theo Upwind, Shai Hulud 3.0 chứa cùng một cơ chế cốt lõi như các phiên bản trước: một logic trong quá trình cài đặt để khởi chạy mã độc trước khi nạn nhân hoặc các phần mềm rà quét tự động có thể can thiệp.

Sau khi thực thi, worm sử dụng TruffleHog để quét hệ thống tìm kiếm API token, thông tin đăng nhập và các secret khác, đồng thời gọi Bun để thực hiện các quy trình xuất bản trên Windows.

Upwind lưu ý: “Các secret được trích xuất sẽ ghi vào ổ đĩa và sau đó chuyển ra ngoài đến cơ sở hạ tầng do kẻ tấn công kiểm soát”. Tuy nhiên, một thay đổi lớn so với phiên bản trước là việc loại bỏ “dead man switch” dẫn đến việc thực thi phần mềm xóa dữ liệu nếu không tìm thấy token GitHub hoặc NPM nào bị lạm dụng để đánh cắp dữ liệu.

Người dùng của @vietmoney/react-big-calendar và bất kỳ tiện ích mở rộng nào được biết là đã bị nhiễm worm Shai-Hulud được khuyến cáo nên gỡ bỏ các thành phần phụ thuộc độc hại. Ngoài ra, cần thay đổi thông tin đăng nhập và khóa của họ càng sớm càng tốt để phòng tránh trước mối đe dọa này.
https://antoanthongtin.vn/tin/vu-tan-cong-chuoi-cung-ung-shai-hulud-dan-den-danh-cap-vi-trust-wallet-tri-gia-85-trieu-usd