Ledger، ارائه دهنده کیف پول های رمزنگاری شده، گزارش شده است ضرر قابل توجهی برای کاربرانش. مجرمان یک نسخه مخرب از Ledger Connect Kit را از طریق حمله فیشینگ به یک کارمند سابق توزیع کردند. این کیت یک کتابخانه مهم جاوا اسکریپت است که کیف پولهای رمزنگاری لجر را به برنامههای شخص ثالث مرتبط میکند، که به عنوان وبسایتهای متصل به کیف پول نیز شناخته میشوند.
دیروز، یکی از کارمندان سابق لجر قربانی یک حمله فیشینگ شد که در نتیجه هکرها به حساب NPMJS او دسترسی پیدا کردند. NPMJS یک مدیر بسته مرکزی برای محیط جاوا اسکریپت Node.js است که ادعا می کند بزرگترین مخزن نرم افزار جهان است. میزبان آرشیو وسیعی از بسته های عمومی، خصوصی و تجاری است.
مهاجمان با دسترسی به حساب کارمند سابق، یک نسخه آلوده از Ledger Connect Kit را پخش کردند. این نسخه به خطر افتاده از یک پروژه WalletConnect سرکش برای هدایت وجوه از کاربران لجر به کیف پول مهاجمان استفاده می کرد. این کد مخرب حدود پنج ساعت فعال بود و سرقت ارزهای دیجیتال بیش از دو ساعت اتفاق افتاد. محقق رمزارز ZachXBT ضرر را تخمین می زند بیش از 600,000 دلار باشد. لجر متعهد شده است که به قربانیان در بازیابی وجوه خود کمک کند و تأیید کرده است که این حمله محدود به برنامه های شخص ثالث با استفاده از کیت Ledger Connect است.
لجر ادعا می کند که معمولاً برای یک کارمند سابق غیرممکن است که نسخه های نرم افزار مخرب را توزیع کند. نسخه های جدید قرار است قبل از انتشار توسط چندین طرف بررسی شوند. علاوه بر این، کارکنانی که شرکت را ترک می کنند باید دسترسی به سیستم های Ledger را از دست بدهند. با این حال، لجر توضیح نداده است که چرا این پروتکل ها شکست خورده اند و آن را به عنوان یک "حادثه منزوی" توصیف کرده است. آنها از آن زمان یک نسخه تمیز از Ledger Connect Kit را عرضه کردند و "اسرار" را برای توزیع کد از طریق GitHub لجر به روز کردند.