Атака Шай-Хулуд: Как червь в це�почке поставок украл $58 млн у крипто-разработчиков и пользователей
В канун Рождества 2025 года, когда большая часть криптомира была на каникулах, злоумышленники внедрили вредоносное обновление в расширение Trust Wallet для Chrome. В течение 48 часов из 2 520 кошельков исчезло 8,5 миллионов долларов. Сид-фразы тысяч пользователей были незаметно похищены под видом рутинных телеметрических данных. Но это не было изолированным инцидентом — это стало кульминацией атаки на цепочку поставок, которая неделями распространялась через экосистему крипторазработки.
Кампан�ия Shai-Hulud, названная в честь песчаных червей из «Дюны», представляет собой самую агрессивную атаку на цепочку поставок npm в 2025 году. Она скомпрометировала более 700 npm-пакетов, заразила 27 000 репозиториев GitHub и раскрыла примерно 14 000 секретов разработчиков в 487 организациях. Общий ущерб: более 58 миллионов долларов в украденной криптовалюте, что делает эту атаку одной из самых дорогостоящих для разработчиков в истории криптографии.
Анатомия червя в цепочке поставок
В отличие от типичного вредоносного ПО, требующего от пользователей загрузки сомнительных программ, атаки на цепочку поставок отравляют инструменты, которым разработчики уже доверяют. Кампания Shai-Hulud превратила в оружие npm — менеджер пакетов, который обеспечивает работу большинства разработок на JavaScript, включая почти каждый криптокошелек, DeFi-фронтенд и Web3-приложение.
Атака началась в сентябре 2025 года с первой волны, в результате которой было украдено около 50 миллионов долларов в криптовалюте. Но именно «Второе пришествие» в ноябре продемонстрировало истинную изощренность операции. С 21 по 23 ноября злоумышленники скомпрометировали инфраструктуру разработки крупных проектов, включая Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase и Postman.
Механизм распространения был элегантным и пугающим. Когда Shai-Hulud заражает легитимный npm-пакет, он внедряет два вредоносных файла — setup_bun.js и bun_environment.js, которые запускаются с помощью preinstall-скрипта. В отличие от традиционного вредоносного ПО, которое активируется после установки, эта полезная нагрузка запускается до завершения установки и даже в случае её сбоя. К тому времени, когда разработчики понимают, что что-то не так, их учетные данные уже украдены.
Червь идентифицирует другие пакеты, поддерживаемые скомпрометированными разработчиками, автоматически внедряет вредоносный код и публикует новые зараженные версии в реестре npm. Такое автоматизированное распространение позволило вредоносному ПО расти в геометрической прогрессии без прямого вмешательства злоумышленников.
От секретов разработчиков до кошельков пользователей
Связь между скомпрометированными npm-пакетами и взломом Trust Wallet показывает, как атаки на цепочку поставок каскадом переходят от разработчиков к конечным пользователям.
Расследование Trust Wallet показало, что их секреты разработчиков на GitHub были раскрыты во время ноябрьской вспышки Shai-Hulud. Эта утечка дала злоумышленникам доступ к исходному коду расширения для браузера и, что критически важно, к API-ключу Chrome Web Store. Вооружившись этими данными, злоумышленники полностью обошли внутренний процесс выпуска обновлений Trust Wallet.
24 декабря 2025 года в Chrome Web Store появилась версия 2.68 расширения Trust Wallet — опубликованная злоумышленниками, а не разработчиками Trust Wallet. Вредоносный код был разработан для перебора всех кошельков, хранящихся в расширении, и запуска запроса мнемонической фразы для каждого из них. Независимо от того, проходили ли пользователи аутентификацию с помощью пароля или биометрии, их сид-фразы незаметно отправлялись на серверы, контролируемые злоумышленниками, под видом легитимных аналитических данных.
Украденные средства распределились следующим образом: примерно 3 миллиона долларов в Bitcoin, более 3 миллионов в Ethereum, а также меньшие суммы в Solana и других токенах. В течение нескольких дней злоумышленники начали отмывать средства через централизованные биржи — 3,3 миллиона долларов через ChangeNOW, 340 000 долларов через FixedFloat и 447 000 долларов через KuCoin.
Выключатель мертвеца
Возможно, самым тревожным является механизм «выключателя мертвеца» (dead man's switch) в вредоносном ПО Shai-Hulud. Если червь не может аутентифицироваться на GitHub или npm — если его каналы распространения и эксфильтрации данных перерезаны — он удаляет все файлы в домашнем каталоге пользователя.
Эта разрушительная функция служит нескольким целям. Она наказывает за попытки обнаружения, создает хаос, маскирующий следы злоумышленников, и дает рычаги давления, если защитники попытаются отключить инфраструктуру управления и контроля. Для разработчиков, которые не позаботились о надлежащем резервном копировании, неудачная попытка очистки системы может привести к катастрофической потере данных в дополнение к краже учетных данных.
Злоумышленники также продемонстрировали психологическую изощренность. Когда Trust Wallet объявил о взломе, те же злоумышленники запустили фишинговую кампанию, эксплуатирующую возникшую панику, создав поддельные сайты под брендом Trust Wallet, где пользователям предлагалось ввести свои восстановительные сид-фразы для «верификации кошелька». Некоторые жертвы пострадали дважды.
Вопрос об инсайдере
Соучредитель Binance Чанпэн Чжао (CZ) намекнул, что э�ксплойт Trust Wallet «скорее всего» был осуществлен инсайдером или кем-то, кто имел предварительный доступ к разрешениям на развертывание. Собственный анализ Trust Wallet предполагает, что злоумышленники могли получить контроль над устройствами разработчиков или получить разрешения на развертывание до 8 декабря 2025 года.
Исследователи безопасности отметили закономерности, указывающие на возможную причастность государственных структур. Время проведения атаки — канун Рождества — соответствует распространенному сценарию сложных постоянных угроз (APT): атака во время праздников, когда в группах безопасности не хватает персонала. Техническая изощренность и масштаб кампании Shai-Hulud в сочетании с быстрым отмыванием средств свидетельствуют о наличии ресурсов, выходящих за рамки типичных криминальных операций.
Почему браузерные расширения уникально уязвимы
Инцидент с Trust Wallet подчеркивает фундаментальную уязвимость в модели безопасности криптовалют. Браузерные расширения обладают исключительными привилегиями — они могут читать и изменять веб-страницы, получать доступ к локальному хранилищу, а в случае криптокошельков — хранить ключи от активов на миллионы долларов.
Поверхность атаки огромна:
- Механизмы обновления: расширения обновляются автоматически, и одно скомпрометированное обновление охватывает всех пользователей.
- Безопасность API-ключей: в случае утечки API-ключей Chrome Web Store любой желающий может публиковать обновления.
- Предположения о доверии: пользователи полагают, что обновления из официальных магазинов безопасны.
- Выбор времени (праздники): ослабление мониторинга безопасности в праздничные дни позволяет злоумышленникам дольше оставаться незамеченными.
Это не первая атака на криптопользователей через браузерные расширения. Предыдущие инциденты включают кампанию GlassWorm, нацеленную на расширения VS Code, и мошенничество с расширением FoxyWallet для Firefox. Однако взлом Trust Wallet стал крупнейшим в денежном эквиваленте и продемонстрировал, как компрометация цепочки поставок усиливает эффект атак на расширения.
Реакция Binance и прецедент SAFU
Binance подтвердила, что пострадавшим пользователям Trust Wallet будет полностью возмещен ущерб через фонд SAFU (Secure Asset Fund for Users). Этот фонд, созданный после взлома биржи в 2018 году, удерживает часть торговых комиссий в резерве специально для покрытия убытков пользователей от инцидентов безопасности.
Решение о возмещении создает важный прецедент и поднимает интересный вопрос о распределении ответственности. Trust Wallet был скомпрометирован без прямой вины пользователей, которые просто открыли свои кошельки в период действия уязвимости. Но первопричиной стала атака на цепочку поставок, скомпрометировавшая инфраструктуру разработчиков, что, в свою очередь, стало возможным из-з�а системных уязвимостей в экосистеме npm.
Меры Trust Wallet по немедленному реагированию включали прекращение действия всех API для релизов, чтобы заблокировать выпуск новых версий на две недели, сообщение регистратору о вредоносном домене эксфильтрации данных (что привело к его оперативной блокировке) и выпуск «чистой» версии 2.69. Пользователям было рекомендовано немедленно перевести средства на новые кошельки, если они разблокировали расширение в период с 24 по 26 декабря.
Уроки для криптоэкосистемы
Кампания «Шай-Хулуд» обнажает системные уязвимости, выходящие далеко за пределы Trust Wallet:
Для разработчиков
Явно фиксируйте зависимости. Эксплуатация скрипта preinstall возможна, потому что при установке ч�ерез npm может выполняться произвольный код. Фиксация (pinning) известных чистых версий предотвращает внедрение скомпрометированных пакетов через автоматические обновления.
Относитесь к секретам как к скомпрометированным. Любой проект, загружавший пакеты npm в период с 21 ноября по декабрь 2025 года, должен исходить из того, что его учетные данные раскрыты. Это означает отзыв и перевыпуск токенов npm, GitHub PAT, SSH-ключей и учетных данных облачных провайдеров.
Внедрите надлежащее управление секретами. API-ключи для критически важной инфраструктуры, такой как публикация в магазинах приложений, никогда не должны храниться в системах контроля версий, даже в приватных репозиториях. Используйте аппаратные модули безопасности (HSM) или специализированные сервисы управления секретами.
Используйте MFA, устойчивую к фишингу. Стандартную двухфакторную аутентификацию могут обойти опытные злоумышленники. Аппаратные ключи, такие как YubiKey, обеспечивают более надежную защиту учетных записей разработчиков и CI/CD.
Для пользователей
Диверсифицируйте инфраструктуру кошельков. Не храните все средства в браузерных расширениях. Аппаратные кошельки обеспечивают изоляцию от программных уязвимостей — они могут подписывать транзакции, никогда не раскрывая сид-фразы потенциально скомпрометированным браузерам.
Допускайте, что обновления могут быть вредоносными. Модель автоматического обновления, делающая ПО удобным, также делает его уязвимым. Рассмотрите возможность отключения автообновлений для критически важных с точки зрения безопасности расширений и проверяйте новые версии вручную.
Мониторьте активность кошелька. Сервисы, оповещающие о подозрительных транзакциях, могут заранее предупредить о взломе, потенциально ограничивая потери до того, как злоумышленники опустошат кошельки полностью.
Для индустрии
Укрепляйте экосистему npm. Реестр npm является критически важной инфраструктурой для разработки Web3, однако в нем отсутствуют многие функции безопасности, которые могли бы предотвратить «червеподобное» распространение угроз. Обязательная подпись кода, воспроизводимые сборки и обнаружение аномалий в обновлениях пакетов могли бы значительно поднять планку для атакующих.
Переосмыслите безопасность браузерных расширений. Текущая модель, при которой расширения обновляются автоматически и имеют широкие права доступа, фундаментально несовместима с требованиями безопасности для хранения значительных активов. Могут помочь песочницы для исполнения, отложенные обновления с проверкой пользователем и сокращение объема разрешений.
Координируйте реагирование на инциденты. Кампания «Шай-Хулуд» затронула сотни проектов в криптоэкосистеме. Улучшенный обмен информацией и скоординированные действия могли бы ограничить ущерб по мере выявления скомпрометированных пакетов.
Будущее безопасн�ости цепочек поставок в криптосфере
Исторически криптовалютная индустрия концентрировала усилия по обеспечению безопасности на аудите смарт-контрактов, холодном хранении на биржах и защите пользователей от фишинга. Кампания «Шай-Хулуд» демонстрирует, что самые опасные атаки могут исходить от скомпрометированных инструментов разработчика — инфраструктуры, с которой криптопользователи никогда не взаимодействуют напрямую, но которая лежит в основе каждого используемого ими приложения.
По мере усложнения Web3-приложений их графы зависимостей становятся всё шире. Каждый npm-пакет, каждое действие GitHub, каждая интеграция CI/CD представляют собой потенциальный вектор атаки. Реакция индустрии на «Шай-Хулуд» определит, станет ли это разовым тревожным сигналом или началом эры атак на цепочки поставок в криптоинфраструктуре.
На данный момент злоумышленники остаютс�я неопознанными. Около 2,8 млн долларов украденных средств Trust Wallet всё еще находятся на их кошельках, в то время как остальная часть была отмыта через централизованные биржи и кроссчейн-мосты. Более 50 млн долларов от более ранних краж в рамках кампании «Шай-Хулуд» практически исчезли в псевдонимных глубинах блокчейна.
Песчаный червь зарылся глубоко в основы криптографии. Чтобы искоренить его, потребуется переосмысление принципов безопасности, которые индустрия принимала как должное с первых дней своего существования.
Создание безопасных Web3-приложений требует надежной инфраструктуры. BlockEden.xyz предоставляет RPC-узлы и API корпоративного уровня со встроенным мониторингом и обнаружением аномалий, помогая разработчикам выявлять необычную активность до того, как она затронет пользователей. Изучите наш маркетплейс API, чтобы строить на фундаменте, ориентированном на безопасность.