Ledger, пастаўшчык криптовалютных кашалькоў, паведаміў значную страту для сваіх карыстальнікаў. Злачынцы распаўсюдзілі шкоднасную версію Ledger Connect Kit з дапамогай фішынгавай атакі на былога супрацоўніка. Гэты набор з'яўляецца важнай бібліятэкай JavaScript, якая звязвае крыптакашалькі Ledger са староннімі праграмамі, таксама вядомымі як вэб-сайты, звязаныя з кашальком.
Учора былы супрацоўнік Ledger стаў ахвярай фішынгавай атакі, у выніку якой хакеры атрымалі доступ да яго ўліковага запісу NPMJS. NPMJS - гэта цэнтральны менеджэр пакетаў для асяроддзя JavaScript Node.js, які прэтэндуе на званне найбуйнейшага ў свеце сховішча праграмнага забеспячэння. Тут знаходзіцца шырокі архіў публічных, прыватных і камерцыйных пакетаў.
Атрымаўшы доступ да акаўнта былога супрацоўніка, зламыснікі распаўсюдзілі заражаную версію Ledger Connect Kit. Гэтая скампраметаваная версія выкарыстоўвала падроблены праект WalletConnect для перанакіравання сродкаў ад карыстальнікаў Ledger на кашалькі зламыснікаў. Шкоднасны код быў актыўны каля пяці гадзін, а крадзеж крыптавалюты адбываўся больш за дзве гадзіны. Крыпта-даследчык ZachXBT ацэньвае страты быць больш за 600,000 XNUMX долараў. Ledger абавязваецца дапамагчы ахвярам вярнуць іх сродкі і пацвердзіў, што атака была абмежаваная староннімі праграмамі з выкарыстаннем Ledger Connect Kit.
Лэджэр сцвярджае, што былому супрацоўніку звычайна немагчыма распаўсюджваць шкоднасныя версіі праграм. Мяркуецца, што новыя версіі будуць прагледжаны некалькімі бакамі перад выпускам. Акрамя таго, супрацоўнікі, якія пакідаюць кампанію, павінны страціць доступ да сістэм Ledger. Аднак Лэджэр не патлумачыў, чаму гэтыя пратаколы не ўдаліся, апісваючы гэта як «ізаляваны інцыдэнт». З тых часоў яны выпусцілі чыстую версію Ledger Connect Kit і абнавілі «сакрэты» для распаўсюджвання кода праз GitHub Ledger.