Ledger, un proveedor de carteras de criptomonedas, ha informado una pérdida significativa para sus usuarios. Los delincuentes distribuyeron una versión maliciosa del Ledger Connect Kit mediante un ataque de phishing a un ex empleado. Este kit es una biblioteca de JavaScript crucial que vincula las billeteras criptográficas Ledger con aplicaciones de terceros, también conocidas como sitios web conectados a billeteras.
Ayer, un ex empleado de Ledger fue víctima de un ataque de phishing, lo que provocó que los piratas informáticos obtuvieran acceso a su cuenta NPMJS. NPMJS es un administrador de paquetes central para el entorno JavaScript Node.js y afirma ser el repositorio de software más grande del mundo. Alberga un amplio archivo de paquetes públicos, privados y comerciales.
Al acceder a la cuenta del ex empleado, los atacantes difundieron una versión infectada del Ledger Connect Kit. Esta versión comprometida utilizó un proyecto WalletConnect fraudulento para desviar fondos de los usuarios de Ledger a las billeteras de los atacantes. El código malicioso estuvo activo durante aproximadamente cinco horas y el robo de criptomonedas ocurrió durante dos horas. El criptoinvestigador ZachXBT estima la pérdida superar los 600,000 dólares. Ledger se comprometió a ayudar a las víctimas a recuperar sus fondos y confirmó que el ataque se limitó a aplicaciones de terceros que utilizaban el Ledger Connect Kit.
Ledger afirma que normalmente es imposible que un ex empleado distribuya versiones de software malicioso. Se supone que las nuevas versiones deben ser revisadas por varias partes antes de su lanzamiento. Además, los empleados que abandonan la empresa deberían perder el acceso a los sistemas Ledger. Sin embargo, Ledger no ha explicado por qué fallaron estos protocolos y lo describió como un "incidente aislado". Desde entonces, lanzaron una versión limpia del Ledger Connect Kit y actualizaron los 'secretos' para distribuir código a través de GitHub de Ledger.