Ledger, ein Anbieter von Kryptowährungs-Wallets, hat berichtet ein erheblicher Verlust für seine Benutzer. Kriminelle verbreiteten eine bösartige Version des Ledger Connect Kit durch einen Phishing-Angriff auf einen ehemaligen Mitarbeiter. Bei diesem Kit handelt es sich um eine wichtige JavaScript-Bibliothek, die Ledger-Krypto-Wallets mit Anwendungen von Drittanbietern verknüpft, auch bekannt als Wallet-verbundene Websites.
Gestern wurde ein ehemaliger Ledger-Mitarbeiter Opfer eines Phishing-Angriffs, bei dem Hacker Zugriff auf sein NPMJS-Konto erlangten. NPMJS ist ein zentraler Paketmanager für die JavaScript-Umgebung Node.js und behauptet, das weltweit größte Software-Repository zu sein. Es beherbergt ein umfangreiches Archiv öffentlicher, privater und kommerzieller Pakete.
Nachdem sie auf das Konto des ehemaligen Mitarbeiters zugegriffen hatten, verbreiteten die Angreifer eine infizierte Version des Ledger Connect Kit. Diese kompromittierte Version nutzte ein betrügerisches WalletConnect-Projekt, um Gelder von Ledger-Benutzern in die Wallets der Angreifer umzuleiten. Der Schadcode war etwa fünf Stunden lang aktiv, der Kryptowährungsdiebstahl erfolgte über zwei Stunden. Der Kryptoforscher ZachXBT schätzt den Verlust über 600,000 US-Dollar liegen. Ledger hat sich verpflichtet, den Opfern bei der Wiedererlangung ihrer Gelder zu helfen und bestätigt, dass der Angriff auf Apps von Drittanbietern beschränkt war, die das Ledger Connect Kit verwenden.
Ledger behauptet, dass es einem ehemaligen Mitarbeiter normalerweise unmöglich sei, schädliche Softwareversionen zu verbreiten. Neue Versionen sollten vor der Veröffentlichung von mehreren Parteien überprüft werden. Darüber hinaus sollten Mitarbeiter, die das Unternehmen verlassen, den Zugriff auf Ledger-Systeme verlieren. Allerdings hat Ledger nicht erklärt, warum diese Protokolle fehlgeschlagen sind, sondern es als „einzelnen Vorfall“ bezeichnet. Seitdem haben sie eine saubere Version des Ledger Connect Kit herausgebracht und die „Geheimnisse“ für die Codeverteilung über Ledgers GitHub aktualisiert.