暗号通貨ウォレットのプロバイダーであるレジャーは、 報告している ユーザーにとっては重大な損失です。 犯罪者は、元従業員に対するフィッシング攻撃を通じて、Ledger Connect Kit の悪意のあるバージョンを配布しました。 このキットは、Ledger 暗号通貨ウォレットをサードパーティ アプリケーション (ウォレット接続 Web サイトとも呼ばれます) にリンクする重要な JavaScript ライブラリです。
昨日、Ledger の元従業員がフィッシング攻撃の被害に遭い、その結果、ハッカーが彼の NPMJS アカウントにアクセスしました。 NPMJS は、JavaScript 環境 Node.js の中央パッケージ マネージャーであり、世界最大のソフトウェア リポジトリであると主張しています。 パブリック、プライベート、商用パッケージの膨大なアーカイブをホストしています。
元従業員のアカウントにアクセスした攻撃者は、Ledger Connect Kit の感染バージョンを拡散させました。 この侵害されたバージョンでは、不正な WalletConnect プロジェクトを使用して、Ledger ユーザーから攻撃者のウォレットに資金を流用しました。 悪意のあるコードは約 XNUMX 時間活動し、仮想通貨の盗難は XNUMX 時間にわたって発生しました。 暗号研究者のZachXBTが損失を推定 600,000ドルを超えること。 Ledger は被害者の資金回収を支援することに尽力しており、攻撃は Ledger Connect Kit を使用したサードパーティ製アプリに限定されていたことを確認しました。
レジャー社は、元従業員が悪意のあるソフトウェアのバージョンを配布することは通常不可能であると主張しています。 新しいバージョンは、リリース前に複数の関係者によってレビューされることになっています。 さらに、退職した従業員は台帳システムにアクセスできなくなるはずです。 しかし、レジャー氏はこれらのプロトコルが失敗した理由を説明しておらず、これを「孤立したインシデント」と説明している。 その後、彼らは Ledger Connect Kit のクリーン バージョンを公開し、Ledger の GitHub を通じてコードを配布するための「秘密」を更新しました。