Ledger, 'n verskaffer van cryptocurrency-beursies, het berig 'n aansienlike verlies vir sy gebruikers. Misdadigers het 'n kwaadwillige weergawe van die Ledger Connect Kit versprei deur 'n uitvissing-aanval op 'n voormalige werknemer. Hierdie stel is 'n belangrike JavaScript-biblioteek wat Ledger-crypto-beursies met derdeparty-toepassings koppel, ook bekend as beursie-gekoppelde webwerwe.
Gister het 'n voormalige Ledger-werknemer die slagoffer geword van 'n uitvissing-aanval, wat daartoe gelei het dat kuberkrakers toegang tot sy NPMJS-rekening verkry het. NPMJS is 'n sentrale pakketbestuurder vir die JavaScript-omgewing Node.js, wat beweer dat dit die wêreld se grootste sagtewarebewaarplek is. Dit huisves 'n groot argief van publieke, private en kommersiële pakkette.
Nadat hulle toegang tot die voormalige werknemer se rekening gekry het, het die aanvallers 'n besmette weergawe van die Ledger Connect Kit versprei. Hierdie gekompromitteerde weergawe het 'n skelm WalletConnect-projek gebruik om geld van Ledger-gebruikers na die aanvallers se beursies te lei. Die kwaadwillige kode was vir ongeveer vyf uur aktief, met kriptokurtency diefstal wat meer as twee uur plaasgevind het. Kripto-navorser ZachXBT skat die verlies meer as $600,000 te wees. Ledger het hom daartoe verbind om die slagoffers te help om hul geld terug te kry en het bevestig dat die aanval beperk was tot derdeparty-toepassings wat die Ledger Connect Kit gebruik.
Ledger beweer dat dit tipies onmoontlik is vir 'n voormalige werknemer om kwaadwillige sagteware weergawes te versprei. Nuwe weergawes is veronderstel om deur verskeie partye nagegaan te word voor vrystelling. Boonop behoort werknemers wat die maatskappy verlaat, toegang tot Grootboekstelsels te verloor. Ledger het egter nie verduidelik hoekom hierdie protokolle misluk het nie, en beskryf dit as 'n 'geïsoleerde voorval'. Hulle het sedertdien 'n skoon weergawe van die Ledger Connect Kit ontplooi en die 'geheime' vir die verspreiding van kode deur Ledger se GitHub opgedateer.