Ledger, un fournisseur de portefeuilles de crypto-monnaie, a signalé une perte importante pour ses utilisateurs. Les criminels ont distribué une version malveillante du Ledger Connect Kit via une attaque de phishing contre un ancien employé. Ce kit est une bibliothèque JavaScript cruciale qui relie les portefeuilles cryptographiques Ledger à des applications tierces, également appelées sites Web connectés au portefeuille.
Hier, un ancien employé de Ledger a été victime d'une attaque de phishing, permettant aux pirates d'accéder à son compte NPMJS. NPMJS est un gestionnaire de packages central pour l'environnement JavaScript Node.js, prétendant être le plus grand référentiel de logiciels au monde. Il héberge une vaste archive de packages publics, privés et commerciaux.
Après avoir accédé au compte de l'ancien employé, les attaquants ont diffusé une version infectée du Ledger Connect Kit. Cette version compromise utilisait un projet WalletConnect malveillant pour détourner les fonds des utilisateurs de Ledger vers les portefeuilles des attaquants. Le code malveillant a été actif pendant environ cinq heures, et le vol de cryptomonnaie a duré plus de deux heures. Le chercheur en cryptographie ZachXBT estime la perte être supérieur à 600,000 XNUMX $. Ledger s'est engagé à aider les victimes à récupérer leurs fonds et a confirmé que l'attaque était limitée aux applications tierces utilisant le kit Ledger Connect.
Ledger affirme qu'il est généralement impossible pour un ancien employé de distribuer des versions de logiciels malveillants. Les nouvelles versions sont censées être examinées par plusieurs parties avant leur publication. De plus, les employés qui quittent l’entreprise devraient perdre l’accès aux systèmes Ledger. Cependant, Ledger n'a pas expliqué pourquoi ces protocoles ont échoué, le décrivant comme un « incident isolé ». Depuis, ils ont déployé une version propre du Ledger Connect Kit et mis à jour les « secrets » pour la distribution du code via le GitHub de Ledger.