Ledger, kriptomoneta zorroen hornitzailea, jakinarazi du galera nabarmena bere erabiltzaileentzat. Gaizkileek Ledger Connect Kit-aren bertsio maltzur bat banatu zuten langile ohi baten aurkako phishing-eraso baten bidez. Kit hau Ledger kripto-zorroak hirugarrenen aplikazioekin lotzen dituen JavaScript liburutegi funtsezkoa da, diru-zorroarekin konektatutako webgune gisa ere ezagutzen direnak.
Atzo, Ledger-eko langile ohi bat phishing-eraso baten biktima izan zen, eta ondorioz hackerrek bere NPMJS konturako sarbidea lortu zuten. NPMJS Node.js JavaScript ingurunerako paketeen kudeatzaile zentrala da, munduko software biltegirik handiena dela dioena. Pakete publiko, pribatu eta komertzialen artxibo zabala hartzen du.
Langile ohiaren kontuan sartuta, erasotzaileek Ledger Connect Kit-aren bertsio kutsatu bat zabaldu zuten. Bertsio arriskutsu honek WalletConnect proiektu maltzur bat erabili zuen Ledger erabiltzaileetatik dirua erasotzaileen zorroetara bideratzeko. Kode gaiztoa bost orduz egon zen aktibo, eta bi ordutan zehar kriptomoneta lapurreta gertatu zen. ZachXBT kripto-ikertzaileak galera kalkulatzen du $ 600,000 baino gehiago izatea. Ledgerrek biktimei beren funtsak berreskuratzen laguntzeko konpromisoa hartu du eta erasoa hirugarrenen aplikazioetara mugatu zela baieztatu du Ledger Connect Kit-a erabiliz.
Ledgerrek dio normalean ezinezkoa dela langile ohi batek software maltzurren bertsioak banatzea. Bertsio berriak hainbat alderdik berrikusi behar dituzte kaleratu aurretik. Gainera, enpresa uzten duten langileek Ledger sistemetarako sarbidea galdu beharko lukete. Hala ere, Ledgerrek ez du azaldu protokolo horiek zergatik huts egin duten, eta «gertaera isolatu» gisa deskribatu du. Geroztik Ledger Connect Kit-aren bertsio garbia zabaldu dute eta Ledger-en GitHub-en bidez kodea banatzeko "sekretuak" eguneratu dituzte.