Trust Wallet Kaitkan Pencurian Kripto US$8,5 Juta dengan Serangan NPM Shai-Hulud

Trust Wallet mengungkapkan bahwa insiden pencurian aset kripto senilai sekitar US$8,5 juta yang menimpa lebih dari 2.500 dompet pengguna kemungkinan besar berkaitan dengan serangan supply chain Shai-Hulud yang meluas di industri pada November lalu. Temuan ini muncul setelah investigasi internal atas kompromi ekstensi browser Trust Wallet di Chrome Web Store.

Sebagai salah satu dompet kripto dengan basis pengguna lebih dari 200 juta orang, Trust Wallet menyediakan layanan penyimpanan, pengiriman, dan penerimaan berbagai aset digital, termasuk Bitcoin, Ethereum, Solana, serta ribuan token lainnya melalui ekstensi browser dan aplikasi seluler gratis. Namun, pada 24 Desember lalu, platform ini menjadi sasaran serangan yang berujung pada pencurian jutaan dolar aset kripto dari dompet pengguna.

Insiden tersebut terjadi setelah penyerang menyisipkan file JavaScript berbahaya ke dalam Trust Wallet Chrome Extension versi 2.68.0. Kode ini dirancang untuk mencuri data sensitif dompet kripto dan memungkinkan pelaku menjalankan transaksi tanpa otorisasi pemilik akun. Trust Wallet mengonfirmasi bahwa rahasia pengembang di GitHub mereka terekspos, sehingga penyerang memperoleh akses ke kode sumber ekstensi serta kunci API Chrome Web Store.

Dengan kunci API yang bocor, pelaku dapat mengunggah versi ekstensi secara langsung tanpa melalui proses rilis internal Trust Wallet yang biasanya memerlukan persetujuan dan peninjauan manual. Versi yang telah dimodifikasi tersebut kemudian lolos peninjauan otomatis dan dirilis secara resmi di Chrome Web Store.

Pada tahap lanjutan, penyerang mendaftarkan domain metrics-trustwallet.com beserta subdomain api.metrics-trustwallet.com untuk meng-host kode berbahaya. Domain ini kemudian dirujuk oleh ekstensi Trust Wallet yang telah disusupi, memungkinkan pengumpulan data dompet sensitif tanpa teknik injeksi kode konvensional.

Menanggapi kejadian ini, Trust Wallet mencabut seluruh akses API rilis untuk mencegah publikasi versi baru yang tidak sah. Perusahaan juga melaporkan domain berbahaya tersebut ke registrar NiceNIC, yang kemudian menangguhkannya. Selain itu, Trust Wallet mulai melakukan proses penggantian dana bagi pengguna yang terdampak.

Pihak perusahaan juga memperingatkan adanya upaya penipuan lanjutan, di mana pelaku menyamar sebagai akun dukungan Trust Wallet. Modus yang digunakan antara lain penyebaran formulir kompensasi palsu serta iklan penipuan melalui Telegram.

Dalam pernyataan terpisah, Trust Wallet mengaitkan insiden ini dengan kampanye malware Shai-Hulud, sebuah serangan supply chain yang menargetkan ekosistem npm, repositori perangkat lunak dengan lebih dari dua juta paket. Pada gelombang awal di awal September, serangan ini berhasil mengompromikan lebih dari 180 paket npm menggunakan payload yang dapat menyebar sendiri, dengan tujuan mencuri rahasia pengembang dan kunci API.

Serangan tersebut kemudian berkembang menjadi Shai-Hulud 2.0, yang berdampak pada lebih dari 800 paket dan menambahkan puluhan ribu paket berbahaya ke repositori npm. Kode berbahaya ini digunakan untuk mengumpulkan kredensial pengembang serta rahasia CI/CD, yang kemudian dipublikasikan secara terbuka. Secara keseluruhan, ratusan ribu data rahasia dilaporkan terekspos, dengan sebagian besar token npm yang bocor masih aktif hingga awal Desember.

Para peneliti keamanan menilai bahwa kampanye ini menunjukkan peningkatan signifikan dalam kecanggihan serangan pencurian kredensial melalui ekosistem npm dan GitHub. Situasi ini menjadi pengingat serius akan risiko serangan supply chain terhadap proyek perangkat lunak dan layanan kripto yang bergantung pada ekosistem open source.