Ledger, ספקית של ארנקי מטבעות קריפטוגרפיים, דיווחה הפסד משמעותי עבור המשתמשים בו. פושעים הפיצו גרסה זדונית של ערכת Ledger Connect באמצעות התקפת דיוג על עובד לשעבר. ערכה זו היא ספריית JavaScript חיונית המקשרת ארנקי קריפטו של Ledger ליישומי צד שלישי, הידועים גם בשם אתרים המחוברים לארנק.
אתמול, עובד לדג'ר לשעבר נפל קורבן למתקפת פישינג, וכתוצאה מכך האקרים קיבלו גישה לחשבון ה-NPMJS שלו. NPMJS הוא מנהל חבילות מרכזי עבור סביבת JavaScript Node.js, המתיימר להיות מאגר התוכנה הגדול בעולם. הוא מארח ארכיון עצום של חבילות ציבוריות, פרטיות ומסחריות.
לאחר גישה לחשבון של העובד לשעבר, התוקפים הפיצו גרסה נגועה של ערכת Ledger Connect. גרסה שנפרצה זו השתמשה בפרויקט WalletConnect נוכל כדי להסיט כספים ממשתמשי Ledger לארנקים של התוקפים. הקוד הזדוני היה פעיל במשך כחמש שעות, כאשר גניבת מטבעות קריפטוגרפיים התרחשה במשך שעתיים. חוקר הקריפטו ZachXBT מעריך את ההפסד להיות מעל $600,000. Ledger התחייבה לסייע לקורבנות להחזיר את הכספים שלהם ואישרה כי המתקפה הוגבלה לאפליקציות צד שלישי המשתמשות בערכת Ledger Connect.
לדג'ר טוען שבדרך כלל לא ניתן לעובד לשעבר להפיץ גרסאות תוכנה זדוניות. גרסאות חדשות אמורות להיבדק על ידי גורמים מרובים לפני השחרור. בנוסף, עובדים שעוזבים את החברה צריכים לאבד גישה למערכות Ledger. עם זאת, לדג'ר לא הסביר מדוע הפרוטוקולים הללו נכשלו, ותיאר זאת כ'אירוע מבודד'. מאז הם הוציאו גרסה נקייה של Ledger Connect Kit ועדכנו את 'הסודות' להפצת קוד דרך GitHub של Ledger.