Ledger, usa ka tighatag sa mga pitaka sa cryptocurrency, nagtaho usa ka dakong kapildihan alang sa mga tiggamit niini. Ang mga kriminal nag-apod-apod og malisyoso nga bersyon sa Ledger Connect Kit pinaagi sa pag-atake sa phishing sa kanhi empleyado. Kini nga kit usa ka hinungdanon nga librarya sa JavaScript nga nag-link sa mga pitaka sa Ledger crypto sa mga aplikasyon sa ikatulo nga partido, nailhan usab nga mga website nga konektado sa pitaka.
Kagahapon, usa ka kanhi empleyado sa Ledger ang nabiktima sa pag-atake sa phishing, nga miresulta sa pag-access sa mga hacker sa iyang NPMJS account. Ang NPMJS usa ka sentro nga tagdumala sa pakete alang sa JavaScript nga palibot nga Node.js, nga nag-angkon nga kini ang pinakadako nga tipiganan sa software sa kalibutan. Nag-host kini usa ka halapad nga archive sa publiko, pribado, ug komersyal nga mga pakete.
Sa pag-access sa account sa kanhi empleyado, ang mga tig-atake nagpakaylap sa usa ka nataptan nga bersyon sa Ledger Connect Kit. Kining nakompromiso nga bersyon migamit ug rogue nga WalletConnect nga proyekto aron ibalhin ang mga pundo gikan sa Ledger users ngadto sa mga pitaka sa mga tig-atake. Ang malisyoso nga code aktibo sulod sa mga lima ka oras, uban sa pagpangawat sa cryptocurrency nga nahitabo sulod sa duha ka oras. Ang Crypto-researcher nga si ZachXBT nagbanabana sa pagkawala nga labaw sa $600,000. Ang Ledger mipasalig sa pagtabang sa mga biktima sa pagbawi sa ilang mga pondo ug gikumpirma nga ang pag-atake limitado sa mga third-party nga apps gamit ang Ledger Connect Kit.
Giangkon sa Ledger nga kasagaran imposible alang sa usa ka kanhi empleyado sa pag-apod-apod sa mga malisyosong bersyon sa software. Ang mga bag-ong bersyon kinahanglan nga susihon sa daghang mga partido sa dili pa buhian. Dugang pa, ang mga empleyado nga mobiya sa kompanya kinahanglan nga mawad-an og access sa mga sistema sa Ledger. Bisan pa, wala gipatin-aw sa Ledger kung ngano nga napakyas kini nga mga protocol, nga gihulagway kini nga usa ka 'nahimulag nga insidente'. Sukad niadto gilukot nila ang usa ka limpyo nga bersyon sa Ledger Connect Kit ug gi-update ang 'mga sekreto' alang sa pag-apod-apod sa code pinaagi sa GitHub sa Ledger.