Ledger, un fornitore di portafogli di criptocurrency, hà dettu una perdita significativa per i so utilizatori. I criminali anu distribuitu una versione maliciosa di u Ledger Connect Kit attraversu un attaccu di phishing à un ex impiegatu. Stu kit hè una libreria JavaScript cruciale chì ligami Ledger crypto wallets à applicazioni di terzu, cunnisciuti ancu com'è siti web cunnessi à wallet.
Aieri, un anzianu impiegatu di Ledger hè stata vittima di un attaccu di phishing, chì hà risultatu in i pirate chì anu accessu à u so contu NPMJS. NPMJS hè un gestore di pacchetti cintrali per l'ambiente JavaScript Node.js, chì dichjara esse u più grande repositoriu di software in u mondu. Ospitu un vastu archiviu di pacchetti publichi, privati è cummerciale.
Dopu avè accede à u contu di l'anzianu impiegatu, l'attaccanti sparghjenu una versione infettata di u Ledger Connect Kit. Questa versione cumprumessa hà utilizatu un prughjettu di WalletConnect rogue per svià i fondi da l'utilizatori di Ledger à i portafogli di l'attaccanti. U codice maliziusu era attivu per circa cinque ore, cù u furtu di criptu di munita in più di duie ore. Crypto-ricercatore ZachXBT stima a perdita esse più di $ 600,000. Ledger s'impegna à aiutà e vittime à ricuperà i so fondi è hà cunfirmatu chì l'attaccu era limitatu à l'applicazioni di terzu chì utilizanu u Ledger Connect Kit.
Ledger dichjara chì hè tipicamente impussibile per un ex-impiegatu di distribuisce versioni di software maliziusi. I novi versioni sò supposti esse riveduti da parechji partiti prima di liberazione. Inoltre, l'impiegati chì lascianu l'impresa anu da perde l'accessu à i sistemi Ledger. Tuttavia, Ledger ùn hà micca spiegatu perchè sti protokolli anu fallutu, descrivendu cum'è un "incidente isolatu". Dapoi anu lanciatu una versione pulita di u Ledger Connect Kit è aghjurnatu i "secreti" per a distribuzione di codice attraversu GitHub di Ledger.