Ledger, un fornitore di portafogli di criptovaluta, ha riferito una perdita significativa per i suoi utenti. I criminali hanno distribuito una versione dannosa del Ledger Connect Kit attraverso un attacco di phishing contro un ex dipendente. Questo kit è una libreria JavaScript fondamentale che collega i portafogli crittografici Ledger ad applicazioni di terze parti, note anche come siti Web collegati al portafoglio.
Ieri un ex dipendente di Ledger è stato vittima di un attacco di phishing che ha consentito agli hacker di accedere al suo account NPMJS. NPMJS è un gestore di pacchetti centrale per l'ambiente JavaScript Node.js, che afferma di essere il più grande repository di software al mondo. Ospita un vasto archivio di pacchetti pubblici, privati e commerciali.
Dopo aver avuto accesso al conto dell'ex dipendente, gli aggressori hanno diffuso una versione infetta del Ledger Connect Kit. Questa versione compromessa utilizzava un progetto canaglia WalletConnect per deviare i fondi dagli utenti di Ledger ai portafogli degli aggressori. Il codice dannoso è rimasto attivo per circa cinque ore, mentre il furto di criptovaluta si è verificato per oltre due ore. Il ricercatore di criptovaluta ZachXBT stima la perdita superare i 600,000 dollari. Ledger si è impegnato ad assistere le vittime nel recupero dei propri fondi e ha confermato che l'attacco è stato limitato alle app di terze parti che utilizzavano il Ledger Connect Kit.
Ledger sostiene che in genere è impossibile per un ex dipendente distribuire versioni di software dannoso. Le nuove versioni dovrebbero essere riviste da più parti prima del rilascio. Inoltre, i dipendenti che lasciano l’azienda dovrebbero perdere l’accesso ai sistemi di contabilità. Tuttavia, Ledger non ha spiegato il motivo per cui questi protocolli hanno fallito, descrivendolo come un “incidente isolato”. Da allora hanno lanciato una versione pulita del Ledger Connect Kit e aggiornato i "segreti" per la distribuzione del codice tramite GitHub di Ledger.