લેજર, ક્રિપ્ટોકરન્સી વોલેટ્સનો પ્રદાતા, અહેવાલ આપ્યો છે તેના વપરાશકર્તાઓ માટે નોંધપાત્ર નુકસાન. ગુનેગારોએ ભૂતપૂર્વ કર્મચારી પર ફિશિંગ હુમલા દ્વારા લેજર કનેક્ટ કિટના દૂષિત સંસ્કરણનું વિતરણ કર્યું. આ કિટ એક નિર્ણાયક JavaScript લાઇબ્રેરી છે જે લેજર ક્રિપ્ટો વૉલેટને તૃતીય-પક્ષ એપ્લિકેશનો સાથે લિંક કરે છે, જેને વૉલેટ-કનેક્ટેડ વેબસાઇટ્સ તરીકે પણ ઓળખવામાં આવે છે.
ગઈકાલે, એક ભૂતપૂર્વ લેજર કર્મચારી ફિશિંગ હુમલાનો ભોગ બન્યો હતો, જેના પરિણામે હેકરોએ તેના NPMJS એકાઉન્ટની ઍક્સેસ મેળવી હતી. NPMJS એ JavaScript પર્યાવરણ Node.js માટે કેન્દ્રીય પેકેજ મેનેજર છે, જે વિશ્વની સૌથી મોટી સોફ્ટવેર રીપોઝીટરી હોવાનો દાવો કરે છે. તે જાહેર, ખાનગી અને વ્યાપારી પેકેજોના વિશાળ આર્કાઇવને હોસ્ટ કરે છે.
ભૂતપૂર્વ કર્મચારીના ખાતાને ઍક્સેસ કર્યા પછી, હુમલાખોરોએ લેજર કનેક્ટ કિટનું ચેપગ્રસ્ત સંસ્કરણ ફેલાવ્યું. આ ચેડા કરેલ સંસ્કરણે લેજર વપરાશકર્તાઓના ભંડોળને હુમલાખોરોના વૉલેટમાં વાળવા માટે બદમાશ WalletConnect પ્રોજેક્ટનો ઉપયોગ કર્યો હતો. દૂષિત કોડ લગભગ પાંચ કલાક સક્રિય હતો, જેમાં બે કલાકથી વધુ ક્રિપ્ટોકરન્સીની ચોરી થઈ હતી. ક્રિપ્ટો-સંશોધક ZachXBT નુકસાનનો અંદાજ કાઢે છે $600,000 થી વધુ. લેજરે પીડિતોને તેમના ભંડોળ પુનઃપ્રાપ્ત કરવામાં સહાય કરવા માટે પ્રતિબદ્ધ છે અને પુષ્ટિ કરી છે કે હુમલો લેજર કનેક્ટ કિટનો ઉપયોગ કરીને થર્ડ-પાર્ટી એપ્સ સુધી મર્યાદિત હતો.
લેજર દાવો કરે છે કે ભૂતપૂર્વ કર્મચારી માટે દૂષિત સોફ્ટવેર સંસ્કરણોનું વિતરણ કરવું સામાન્ય રીતે અશક્ય છે. નવા સંસ્કરણોની રિલીઝ પહેલા બહુવિધ પક્ષો દ્વારા સમીક્ષા કરવામાં આવે તેવું માનવામાં આવે છે. વધુમાં, કંપની છોડી રહેલા કર્મચારીઓએ લેજર સિસ્ટમ્સની ઍક્સેસ ગુમાવવી જોઈએ. જો કે, લેજરે સમજાવ્યું નથી કે આ પ્રોટોકોલ શા માટે નિષ્ફળ ગયા, તેને 'અલગ ઘટના' તરીકે વર્ણવી. ત્યારથી તેઓએ લેજર કનેક્ટ કિટનું સ્વચ્છ સંસ્કરણ બહાર પાડ્યું છે અને લેજરના ગિટહબ દ્વારા કોડ વિતરિત કરવા માટેના 'સિક્રેટ્સ' અપડેટ કર્યા છે.