Ledger-ի օգտատերերը կորցնում են հարյուր հազարավոր Crypto-ում ֆիշինգային հարձակման պատճառով

Ledger, կրիպտոարժույթի դրամապանակների մատակարար, հաղորդել է զգալի կորուստ իր օգտագործողների համար: Հանցագործները տարածել են Ledger Connect Kit-ի վնասակար տարբերակը նախկին աշխատակցի վրա ֆիշինգային հարձակման միջոցով: Այս փաթեթը կարևոր JavaScript գրադարան է, որը կապում է Ledger-ի կրիպտո դրամապանակները երրորդ կողմի հավելվածներին, որոնք նաև հայտնի են որպես դրամապանակին միացված կայքեր:

Երեկ Ledger-ի նախկին աշխատակիցը դարձել է ֆիշինգային հարձակման զոհ, որի արդյունքում հաքերները մուտք են գործել նրա NPMJS հաշիվը: NPMJS-ը JavaScript միջավայրի Node.js-ի կենտրոնական փաթեթի կառավարիչ է, որը հավակնում է լինել աշխարհի ամենամեծ ծրագրային ապահովման պահոցը: Այն հյուրընկալում է հանրային, մասնավոր և առևտրային փաթեթների հսկայական արխիվ:

Մուտք գործելով նախկին աշխատակցի հաշիվ՝ հարձակվողները տարածել են Ledger Connect Kit-ի վարակված տարբերակը: Այս վտանգված տարբերակը օգտագործեց խարդախ WalletConnect նախագիծը՝ Ledger-ի օգտատերերից միջոցները դեպի հարձակվողների դրամապանակներ շեղելու համար: Վնասակար կոդը ակտիվ է եղել մոտ հինգ ժամ, իսկ կրիպտոարժույթի գողությունը տեղի է ունեցել ավելի քան երկու ժամ: Crypto-հետազոտող ZachXBT-ն գնահատում է կորուստը լինել ավելի քան 600,000 դոլար: Ledger-ը պարտավորվել է օգնել տուժածներին վերականգնելու իրենց միջոցները և հաստատել է, որ հարձակումը սահմանափակվել է երրորդ կողմի հավելվածներով՝ օգտագործելով Ledger Connect Kit-ը:

Լեջերը պնդում է, որ նախկին աշխատողի համար սովորաբար անհնար է տարածել վնասակար ծրագրերի տարբերակները: Ենթադրվում է, որ նոր տարբերակները պետք է վերանայվեն մի քանի կողմերի կողմից մինչև թողարկումը: Բացի այդ, ընկերությունից հեռացող աշխատակիցները պետք է կորցնեն մուտքը Լեջեր համակարգեր: Այնուամենայնիվ, Լեջերը չի բացատրել, թե ինչու այս արձանագրությունները ձախողվեցին՝ այն նկարագրելով որպես «մեկուսացված միջադեպ»: Այդ ժամանակից ի վեր նրանք թողարկել են Ledger Connect Kit-ի մաքուր տարբերակը և թարմացրել են «գաղտնիքները»՝ Ledger's GitHub-ի միջոցով կոդ տարածելու համար: