Ledger, krüptoraha rahakottide pakkuja, on teatanud märkimisväärne kahju selle kasutajatele. Kurjategijad levitasid Ledger Connect Kit pahatahtlikku versiooni endise töötaja vastu suunatud andmepüügirünnaku kaudu. See komplekt on ülioluline JavaScripti teek, mis seob Ledgeri krüptorahakotid kolmandate osapoolte rakendustega, mida tuntakse ka rahakotiga ühendatud veebisaitidena.
Eile langes endine Ledgeri töötaja andmepüügi rünnaku ohvriks, mille tulemusena pääsesid häkkerid ligi tema NPMJS-i kontole. NPMJS on JavaScripti keskkonna Node.js keskne paketihaldur, mis väidab end olevat maailma suurim tarkvarahoidla. Sellel on suur avalike, era- ja kaubanduslike pakettide arhiiv.
Pääsenud endise töötaja kontole, levitasid ründajad Ledger Connect Kit nakatunud versiooni. See ohustatud versioon kasutas petturitest WalletConnecti projekti, et suunata raha Ledgeri kasutajatelt ründajate rahakotti. Pahatahtlik kood oli aktiivne umbes viis tundi, kusjuures krüptoraha vargus toimus üle kahe tunni. Krüptouurija ZachXBT hindab kahju olema üle 600,000 XNUMX dollari. Ledger on võtnud kohustuse aidata ohvreid nende raha tagasi saada ja kinnitas, et rünnak piirdus Ledger Connect Kit kasutavate kolmandate osapoolte rakendustega.
Ledger väidab, et endisel töötajal on tavaliselt võimatu pahatahtliku tarkvara versioone levitada. Uued versioonid peavad enne avaldamist üle vaatama mitu osapoolt. Lisaks peaksid ettevõttest lahkuvad töötajad kaotama juurdepääsu Ledgeri süsteemidele. Ledger ei ole aga selgitanud, miks need protokollid ebaõnnestusid, kirjeldades seda kui "isoleeritud juhtumit". Pärast seda on nad välja lasknud Ledger Connect Kit puhta versiooni ja värskendanud Ledgeri GitHubi kaudu koodi levitamise saladusi.