أعلنت منصة Trust Wallet أن النسخة الثانية من هجوم سلسلة التوريد المعروف باسم Shai-Hulud، والذي وقع في نوفمبر 2025، كانت السبب وراء اختراق امتدادها على متصفح غوغل كروم، ما أدى إلى سرقة أصول رقمية بقيمة 8.5 مليون دولار. الشركة أوضحت أن أسرار مطوريها على منصة GitHub تعرضت للاختراق، ما منح المهاجمين وصولاً إلى الشيفرة المصدرية للامتداد ومفتاح واجهة برمجة تطبيقات متجر كروم (CWS API). هذا المفتاح سمح لهم برفع نسخ خبيثة مباشرة دون المرور بعملية المراجعة الداخلية المعتادة، وهو ما فتح الباب أمام نشر نسخة مزروعة ببرمجيات خبيثة.
آلية الاختراق واستهداف المستخدمين
المهاجمون قاموا بتسجيل نطاق مزيف باسم metrics-trustwallet[.]com، ومن خلاله دفعوا نسخة ملوثة من الامتداد تحتوي على باب خلفي قادر على سرقة العبارات السرية (Seed Phrases) الخاصة بالمحافظ. بحسب شركة الأمن السيبراني “كوي”، فإن الشيفرة الخبيثة كانت تُفعّل مع كل عملية فتح للمحفظة، وليس فقط عند استيراد العبارات السرية، ما يعني أن جميع المحافظ المرتبطة بحساب المستخدم تعرضت للاختراق، بغض النظر عن طريقة الدخول أو مدة الاستخدام. الأبحاث أظهرت أن العبارات السرية كانت تُخزن داخل حقل باسم errorMessage ضمن بيانات تبدو وكأنها أحداث تحليلية عادية، ما جعل اكتشافها صعباً في المراجعات السطحية.
البنية التحتية والدلالات الجيوسياسية
النطاق المزيف كان موجهاً إلى خادم بعنوان IP مرتبط بشركة Stark Industries Solutions، وهي مزود استضافة محصّن (Bulletproof Hosting) تأسس في المملكة المتحدة عام 2022، قبل أسابيع من الغزو الروسي لأوكرانيا. هذه الشركة لها سجل في دعم عمليات سيبرانية ترعاها روسيا، إضافة إلى أنشطة إجرامية أخرى. التحليل أظهر أيضاً أن الخادم كان يرد بعبارة مقتبسة من رواية “الكثيب” (Dune): “من يسيطر على التوابل يسيطر على الكون”، وهي إشارة سبق أن ظهرت في حادثة Shai-Hulud على مكتبة npm، ما يعكس الطابع الرمزي للحملة. كما كشفت البيانات أن البنية التحتية كانت جاهزة منذ 8 ديسمبر، أي قبل أسبوعين من دفع التحديث الخبيث في 24 ديسمبر، ما يؤكد أن العملية كانت مخططة بعناية وليست عشوائية.
حجم الخسائر ورد فعل الشركة
الهجوم أدى إلى استنزاف أصول رقمية بقيمة 8.5 مليون دولار من 2,520 محفظة إلى 17 عنواناً يسيطر عليها المهاجمون. أولى عمليات السحب غير المشروع ظهرت علناً بعد يوم واحد من التحديث الخبيث. في أعقاب الحادثة، دعت Trust Wallet نحو مليون مستخدم لامتداد كروم إلى التحديث للإصدار 2.69، وأطلقت عملية تعويض للضحايا عبر مراجعة المطالبات بشكل فردي لتفادي الاحتيال. الشركة أكدت أنها عززت آليات المراقبة والتحكم في عمليات الإصدار لتفادي تكرار مثل هذه الاختراقات، مشيرة إلى أن هجوم Shai-Hulud كان جزءاً من حملة واسعة استهدفت قطاعات متعددة عبر إدخال شيفرات خبيثة في أدوات تطوير شائعة الاستخدام.
ظهور نسخة Shai-Hulud 3.0
تزامن إعلان Trust Wallet مع رصد نسخة جديدة من الهجوم تحت اسم Shai-Hulud 3.0، والتي تتميز بزيادة في تقنيات الإخفاء وتحسينات في الموثوقية، مع تركيز مستمر على سرقة الأسرار من أجهزة المطورين. الباحثون في شركة Upwind أوضحوا أن الفروقات الرئيسية تكمن في تقنيات إخفاء النصوص، تحسين التعامل مع الأخطاء، ودعم أوسع لنظام ويندوز، ما يهدف إلى إطالة عمر الحملة بدلاً من إدخال أساليب استغلال جديدة.
