Ledger, in leveransier fan cryptocurrency wallets, hat rapporteare in signifikant ferlies foar har brûkers. Kriminelen ferspraat in kweade ferzje fan de Ledger Connect Kit fia in phishing oanfal op in eardere meiwurker. Dizze kit is in krúsjale JavaSkript-bibleteek dy't Ledger-crypto-slúven keppelt oan applikaasjes fan tredden, ek wol bekend as wallet-ferbûne websiden.
Juster foel in eardere Ledger-meiwurker it slachtoffer fan in phishing-oanfal, wêrtroch hackers tagong krigen ta syn NPMJS-akkount. NPMJS is in sintrale pakketbehearder foar de JavaSkript-omjouwing Node.js, dy't beweart it grutste softwarerepository fan 'e wrâld te wêzen. It host in grut argyf fan iepenbiere, partikuliere en kommersjele pakketten.
Nei tagong ta it akkount fan 'e eardere meiwurker, ferspriede de oanfallers in ynfekteare ferzje fan' e Ledger Connect Kit. Dizze kompromittearre ferzje brûkt in skelm WalletConnect-projekt om fûnsen fan Ledger-brûkers ôf te lieden nei de wallets fan 'e oanfallers. De kweade koade wie aktyf foar likernôch fiif oeren, mei cryptocurrency stellerij barde mear as twa oeren. Krypto-ûndersiker ZachXBT skatte it ferlies om mear as $ 600,000 te wêzen. Ledger hat har ynset om de slachtoffers te helpen by it weromheljen fan har fûnsen en befêstige dat de oanfal beheind wie ta apps fan tredden mei de Ledger Connect Kit.
Ledger beweart dat it typysk ûnmooglik is foar in eks-meiwurker om kweade softwareferzjes te fersprieden. Nije ferzjes moatte wurde hifke troch meardere partijen foar frijlitting. Derneist moatte meiwurkers dy't it bedriuw ferlitte, tagong ferlieze ta Ledger-systemen. Ledger hat lykwols net útlein wêrom't dizze protokollen mislearre, en beskreau it as in 'isolearre ynsidint'. Se hawwe sûnt in skjinne ferzje fan 'e Ledger Connect Kit útrôle en de 'geheimen' bywurke foar it fersprieden fan koade fia Ledger's GitHub.