Ledger notendur tapa hundruðum þúsunda í dulritun vegna vefveiðaárásar

Ledger, sem veitir dulritunar-gjaldmiðilsveski, hefur tilkynnt verulegt tap fyrir notendur sína. Glæpamenn dreifðu illgjarnri útgáfu af Ledger Connect Kit í gegnum vefveiðarárás á fyrrverandi starfsmann. Þetta sett er mikilvægt JavaScript bókasafn sem tengir Ledger dulritunarveski við forrit þriðja aðila, einnig þekkt sem veskistengdar vefsíður.

Í gær varð fyrrverandi starfsmaður Ledger fórnarlamb vefveiðaárásar sem leiddi til þess að tölvuþrjótar fengu aðgang að NPMJS reikningi hans. NPMJS er miðlægur pakkastjóri fyrir JavaScript umhverfið Node.js, sem segist vera stærsta hugbúnaðargeymsla heims. Það hýsir mikið skjalasafn opinberra, einkaaðila og viðskiptapakka.

Eftir að hafa fengið aðgang að reikningi fyrrverandi starfsmannsins dreifðu árásarmennirnir sýktri útgáfu af Ledger Connect Kit. Þessi málamiðlunarútgáfa notaði fantur WalletConnect verkefni til að beina fjármunum frá Ledger notendum í veski árásarmannanna. Skaðlegi kóðinn var virkur í um það bil fimm klukkustundir, þar sem þjófnaður dulritunargjaldmiðils átti sér stað yfir tvær klukkustundir. Dulritunarfræðingur ZachXBT metur tapið að vera yfir $600,000. Ledger hefur skuldbundið sig til að aðstoða fórnarlömbin við að endurheimta fjármuni sína og staðfesti að árásin hafi verið takmörkuð við þriðju aðila forrit sem notuðu Ledger Connect Kit.

Ledger heldur því fram að það sé venjulega ómögulegt fyrir fyrrverandi starfsmann að dreifa skaðlegum hugbúnaðarútgáfum. Nýjar útgáfur eiga að fara yfir af mörgum aðilum fyrir útgáfu. Að auki ættu starfsmenn sem yfirgefa fyrirtækið að missa aðgang að Ledger kerfum. Hins vegar hefur Ledger ekki útskýrt hvers vegna þessar samskiptareglur mistókust, og lýst því sem „einangruðu atviki“. Þeir hafa síðan sett út hreina útgáfu af Ledger Connect Kit og uppfært „leyndarmálin“ til að dreifa kóða í gegnum Ledger GitHub.