Ledger, en udbyder af cryptocurrency tegnebøger, har rapporteret et betydeligt tab for sine brugere. Kriminelle distribuerede en ondsindet version af Ledger Connect Kit gennem et phishing-angreb på en tidligere ansat. Dette sæt er et afgørende JavaScript-bibliotek, der forbinder Ledger-crypto wallets til tredjepartsapplikationer, også kendt som wallet-forbundne websteder.
I går blev en tidligere Ledger-medarbejder offer for et phishing-angreb, hvilket resulterede i, at hackere fik adgang til hans NPMJS-konto. NPMJS er en central pakkehåndtering for JavaScript-miljøet Node.js, der hævder at være verdens største softwarelager. Det er vært for et stort arkiv af offentlige, private og kommercielle pakker.
Efter at have fået adgang til den tidligere medarbejders konto spredte angriberne en inficeret version af Ledger Connect Kit. Denne kompromitterede version brugte et useriøst WalletConnect-projekt til at omdirigere midler fra Ledger-brugere til angribernes tegnebøger. Den ondsindede kode var aktiv i omkring fem timer, hvor kryptovaluta-tyveri fandt sted over to timer. Krypto-forsker ZachXBT vurderer tabet til at være over $600,000. Ledger har forpligtet sig til at hjælpe ofrene med at få deres penge tilbage og bekræftet, at angrebet var begrænset til tredjepartsapps, der brugte Ledger Connect Kit.
Ledger hævder, at det typisk er umuligt for en tidligere ansat at distribuere ondsindede softwareversioner. Nye versioner formodes at blive gennemgået af flere parter før udgivelse. Derudover skulle medarbejdere, der forlader virksomheden, miste adgangen til Ledger-systemer. Ledger har dog ikke forklaret, hvorfor disse protokoller fejlede, og beskriver det som en 'isoleret hændelse'. De har siden udrullet en ren version af Ledger Connect Kit og opdateret 'hemmelighederne' til distribution af kode gennem Ledgers GitHub.