लेजर, क्रिप्टोकरेंसी वॉलेट प्रदाता, रिपोर्ट दी है इसके उपयोगकर्ताओं के लिए एक महत्वपूर्ण हानि। अपराधियों ने एक पूर्व कर्मचारी पर फ़िशिंग हमले के माध्यम से लेजर कनेक्ट किट का दुर्भावनापूर्ण संस्करण वितरित किया। यह किट एक महत्वपूर्ण जावास्क्रिप्ट लाइब्रेरी है जो लेजर क्रिप्टो वॉलेट को तीसरे पक्ष के अनुप्रयोगों से जोड़ती है, जिन्हें वॉलेट-कनेक्टेड वेबसाइटों के रूप में भी जाना जाता है।
कल, लेजर का एक पूर्व कर्मचारी फ़िशिंग हमले का शिकार हो गया, जिसके परिणामस्वरूप हैकर्स ने उसके एनपीएमजेएस खाते तक पहुंच प्राप्त कर ली। एनपीएमजेएस जावास्क्रिप्ट वातावरण नोड.जेएस के लिए एक केंद्रीय पैकेज प्रबंधक है, जो दुनिया का सबसे बड़ा सॉफ्टवेयर भंडार होने का दावा करता है। यह सार्वजनिक, निजी और वाणिज्यिक पैकेजों का एक विशाल संग्रह होस्ट करता है।
पूर्व कर्मचारी के खाते तक पहुँचने के बाद, हमलावरों ने लेजर कनेक्ट किट का एक संक्रमित संस्करण फैलाया। इस समझौता किए गए संस्करण ने लेजर उपयोगकर्ताओं से धन को हमलावरों के बटुए में स्थानांतरित करने के लिए एक दुष्ट वॉलेटकनेक्ट प्रोजेक्ट का उपयोग किया। दुर्भावनापूर्ण कोड लगभग पांच घंटे तक सक्रिय रहा, जबकि क्रिप्टोकरेंसी की चोरी दो घंटे से अधिक समय तक हुई। क्रिप्टो-शोधकर्ता ZachXBT ने नुकसान का अनुमान लगाया है $600,000 से अधिक होना। लेजर ने पीड़ितों को उनके धन की वसूली में सहायता करने के लिए प्रतिबद्ध किया है और पुष्टि की है कि हमला लेजर कनेक्ट किट का उपयोग करके तीसरे पक्ष के ऐप्स तक सीमित था।
लेजर का दावा है कि किसी पूर्व कर्मचारी के लिए दुर्भावनापूर्ण सॉफ़्टवेयर संस्करण वितरित करना आम तौर पर असंभव है। नए संस्करणों की रिलीज़ से पहले कई पक्षों द्वारा समीक्षा की जानी चाहिए। इसके अतिरिक्त, कंपनी छोड़ने वाले कर्मचारियों को लेजर सिस्टम तक पहुंच खो देनी चाहिए। हालाँकि, लेजर ने यह नहीं बताया कि ये प्रोटोकॉल विफल क्यों हुए, इसे एक 'अलग घटना' बताया। तब से उन्होंने लेजर कनेक्ट किट का एक साफ संस्करण पेश किया है और लेजर के गिटहब के माध्यम से कोड वितरित करने के लिए 'रहस्य' को अपडेट किया है।