Ledger, kriptovalyuta pul kisələri provayderi, bildirmişdir istifadəçiləri üçün əhəmiyyətli itki. Cinayətkarlar keçmiş işçiyə fişinq hücumu vasitəsilə Ledger Connect Kit-in zərərli versiyasını yaydılar. Bu dəst Ledger kripto cüzdanlarını pul kisəsi ilə əlaqəli veb saytlar kimi tanınan üçüncü tərəf proqramları ilə əlaqələndirən mühüm JavaScript kitabxanasıdır.
Dünən Ledger-in keçmiş əməkdaşı fişinq hücumunun qurbanı oldu, nəticədə hakerlər onun NPMJS hesabına giriş əldə etdilər. NPMJS JavaScript mühiti Node.js üçün mərkəzi paket meneceridir və dünyanın ən böyük proqram təminatı deposu olduğunu iddia edir. O, ictimai, özəl və kommersiya paketlərinin geniş arxivinə ev sahibliyi edir.
Keçmiş işçinin hesabına daxil olan təcavüzkarlar Ledger Connect Kit-in yoluxmuş versiyasını yayıblar. Bu oğurlanmış versiya Ledger istifadəçilərindən pul vəsaitlərini təcavüzkarların pulqabılarına yönləndirmək üçün saxta WalletConnect layihəsindən istifadə edib. Zərərli kod təxminən beş saat ərzində aktiv olub, kriptovalyuta oğurluğu iki saat ərzində baş verib. Kripto-tədqiqatçı ZachXBT itkini təxmin edir 600,000 dollardan çox olmalıdır. Ledger qurbanlara vəsaitlərini bərpa etməkdə kömək etməyi öhdəsinə götürdü və hücumun Ledger Connect Kitindən istifadə edən üçüncü tərəf proqramları ilə məhdudlaşdığını təsdiqlədi.
Ledger, keçmiş işçinin zərərli proqram versiyalarını yaymasının adətən mümkün olmadığını iddia edir. Yeni versiyalar buraxılmazdan əvvəl bir çox tərəflər tərəfindən nəzərdən keçirilməlidir. Bundan əlavə, şirkətdən ayrılan işçilər Ledger sistemlərinə girişi itirməlidirlər. Bununla belə, Ledger bu protokolların niyə uğursuz olduğunu izah etməyib və bunu "təcrid olunmuş insident" kimi təsvir edib. Onlar o vaxtdan etibarən Ledger Connect Kit-in təmiz versiyasını təqdim etdilər və Ledger's GitHub vasitəsilə kodun yayılması üçün "sirrləri" yenilədilər.