Ledger, πάροχος πορτοφολιών κρυπτονομισμάτων, έχει αναφέρει σημαντική απώλεια για τους χρήστες του. Οι εγκληματίες διένειμαν μια κακόβουλη έκδοση του Ledger Connect Kit μέσω μιας επίθεσης phishing σε έναν πρώην υπάλληλο. Αυτό το κιτ είναι μια κρίσιμη βιβλιοθήκη JavaScript που συνδέει τα κρυπτογραφικά πορτοφόλια Ledger με εφαρμογές τρίτων, γνωστές και ως ιστότοποι που συνδέονται με πορτοφόλι.
Χθες, ένας πρώην υπάλληλος της Ledger έπεσε θύμα επίθεσης phishing, με αποτέλεσμα οι χάκερ να αποκτήσουν πρόσβαση στον λογαριασμό του NPMJS. Το NPMJS είναι ένας κεντρικός διαχειριστής πακέτων για το περιβάλλον JavaScript Node.js, που ισχυρίζεται ότι είναι το μεγαλύτερο αποθετήριο λογισμικού στον κόσμο. Φιλοξενεί ένα τεράστιο αρχείο δημόσιων, ιδιωτικών και εμπορικών πακέτων.
Έχοντας πρόσβαση στον λογαριασμό του πρώην υπαλλήλου, οι εισβολείς διέδωσαν μια μολυσμένη έκδοση του Ledger Connect Kit. Αυτή η παραβιασμένη έκδοση χρησιμοποίησε ένα αδίστακτο έργο WalletConnect για να εκτρέψει χρήματα από τους χρήστες του Ledger στα πορτοφόλια των εισβολέων. Ο κακόβουλος κώδικας ήταν ενεργός για περίπου πέντε ώρες, με την κλοπή κρυπτονομισμάτων να σημειώνεται σε διάστημα δύο ωρών. Ο κρυπτο-ερευνητής ZachXBT εκτιμά την απώλεια να είναι πάνω από 600,000 $. Ο Ledger έχει δεσμευτεί να βοηθήσει τα θύματα να ανακτήσουν τα χρήματά τους και επιβεβαίωσε ότι η επίθεση περιορίστηκε σε εφαρμογές τρίτων που χρησιμοποιούν το Ledger Connect Kit.
Ο Ledger ισχυρίζεται ότι είναι τυπικά αδύνατο για έναν πρώην υπάλληλο να διανείμει εκδόσεις κακόβουλου λογισμικού. Οι νέες εκδόσεις υποτίθεται ότι θα ελεγχθούν από πολλά μέρη πριν από την κυκλοφορία. Επιπλέον, οι εργαζόμενοι που αποχωρούν από την εταιρεία θα πρέπει να χάσουν την πρόσβαση στα συστήματα Ledger. Ωστόσο, ο Ledger δεν έχει εξηγήσει γιατί αυτά τα πρωτόκολλα απέτυχαν, περιγράφοντάς το ως «μεμονωμένο περιστατικό». Έκτοτε κυκλοφόρησαν μια καθαρή έκδοση του Ledger Connect Kit και ενημέρωσαν τα «μυστικά» για τη διανομή κώδικα μέσω του GitHub του Ledger.