Ledger, solaraiche wallets cryptocurrency, air aithris call mòr dha luchd-cleachdaidh. Sgaoil eucoirich dreach droch-rùnach den Ledger Connect Kit tro ionnsaigh fiasgaich air seann neach-obrach. Tha an pasgan seo na leabharlann JavaScript deatamach a tha a’ ceangal wallets crypto Ledger ri tagraidhean treas-phàrtaidh, ris an canar cuideachd làraich-lìn ceangailte ri wallet.
An-dè, dh’ fhuiling fear a bha na neach-obrach Ledger ionnsaigh fiasgaich, agus mar thoradh air an sin fhuair luchd-hackers cothrom air a’ chunntas NPMJS aige. Tha NPMJS na phrìomh mhanaidsear pacaid airson àrainneachd JavaScript Node.js, ag ràdh gur e seo an stòr bathar-bog as motha san t-saoghal. Bidh e a’ cumail tasglann mòr de phasganan poblach, prìobhaideach agus malairteach.
Às deidh dhaibh faighinn gu cunntas an neach-obrach a bh ’ann roimhe, sgaoil an luchd-ionnsaigh dreach gabhaltach den Ledger Connect Kit. Chleachd an dreach cuibhrichte seo pròiseact meallta WalletConnect gus airgead a chuir air falbh bho luchd-cleachdaidh Ledger gu wallets an luchd-ionnsaigh. Bha an còd droch-rùnach gnìomhach airson timcheall air còig uairean a thìde, le goid cryptocurrency a ’tachairt thairis air dà uair a thìde. Crypto-rannsaiche ZachXBT tuairmse air an call a bhith os cionn $600,000. Tha Ledger air gealltainn taic a thoirt don luchd-fulaing gus am maoin fhaighinn air ais agus dhearbh e gun robh an ionnsaigh cuingealaichte ri aplacaidean treas-phàrtaidh a’ cleachdadh an Ledger Connect Kit.
Tha Ledger ag agairt gu bheil e mar as trice do-dhèanta do neach-obrach a bh’ ann roimhe dreachan bathar-bog droch-rùnach a sgaoileadh. Thathas an dùil gun tèid dreachan ùra ath-sgrùdadh le grunn phàrtaidhean mus tèid an leigeil ma sgaoil. A bharrachd air an sin, bu chòir do luchd-obrach a tha a’ fàgail a ’chompanaidh cothrom air siostaman Ledger a chall. Ach, chan eil Ledger air mìneachadh carson a dh’ fhàilnich na protocolaidhean sin, a’ toirt cunntas air mar ‘tachartas iomallach’. Bhon uair sin tha iad air dreach glan den Ledger Connect Kit a chuir a-steach agus air na ‘rùintean’ ùrachadh airson còd a sgaoileadh tro Ledger's GitHub.