Ledger, yon founisè bous cryptocurrency, te rapòte yon pèt enpòtan pou itilizatè li yo. Kriminèl yo te distribye yon vèsyon move nan Ledger Connect Kit atravè yon atak èskrokri sou yon ansyen anplwaye. Twous sa a se yon bibliyotèk JavaScript enpòtan ki konekte bous crypto Ledger ak aplikasyon pou twazyèm pati, ke yo rele tou sit entènèt ki konekte ak bous.
Yè, yon ansyen anplwaye Ledger te viktim yon atak èskrokri, sa ki lakòz entru yo te jwenn aksè nan kont NPMJS li. NPMJS se yon manadjè pakè santral pou anviwònman JavaScript Node.js, ki pretann li se pi gwo depo lojisyèl nan mond lan. Li gen yon gwo achiv pakè piblik, prive ak komèsyal yo.
Lè yo te jwenn aksè nan kont ansyen anplwaye a, atakè yo gaye yon vèsyon ki enfekte nan Ledger Connect Kit la. Vèsyon konpwomèt sa a te itilize yon pwojè WalletConnect vakabon pou devye lajan ki sòti nan itilizatè Ledger yo nan bous atakè yo. Kòd move a te aktif pou apeprè senk èdtan, ak vòl kriptografik lajan ki fèt sou de èdtan. Crypto-chèchè ZachXBT estime pèt la yo dwe plis pase $600,000. Ledger pran angajman pou l ede viktim yo pou yo rekipere lajan yo epi li konfime ke atak la te limite a sa sèlman aplikasyon twazyèm pati lè l sèvi avèk Ledger Connect Kit la.
Ledger reklamasyon ke li se tipikman enposib pou yon ansyen anplwaye yo distribye vèsyon lojisyèl move. Nouvo vèsyon yo sipoze revize pa plizyè pati anvan yo lage. Anplis de sa, anplwaye ki kite konpayi an ta dwe pèdi aksè nan sistèm Ledger. Sepandan, Ledger pa te eksplike poukisa pwotokòl sa yo echwe, ki dekri li kòm yon 'ensidan izole'. Depi lè yo te lanse yon vèsyon pwòp nan Ledger Connect Twous la epi mete ajou 'sekrè yo' pou distribye kòd atravè GitHub Ledger la.