Ledger, panyedhiya dompet cryptocurrency, wis kacarita mundhut pinunjul kanggo sawijining kedhaftar. Penjahat nyebarake versi ala saka Ledger Connect Kit liwat serangan phishing marang mantan karyawan. Kit iki minangka perpustakaan JavaScript penting sing nyambungake dompet crypto Ledger menyang aplikasi pihak katelu, uga dikenal minangka situs web sing disambungake karo dompet.
Wingi, mantan karyawan Ledger dadi korban serangan phishing, nyebabake peretas entuk akses menyang akun NPMJS. NPMJS minangka manajer paket pusat kanggo lingkungan JavaScript Node.js, ngaku minangka gudang piranti lunak paling gedhe ing donya. Iki dadi arsip umum, pribadi, lan paket komersial.
Sawise ngakses akun mantan karyawan, para panyerang nyebarake versi Ledger Connect Kit sing kena infeksi. Versi kompromi iki nggunakake proyek WalletConnect nakal kanggo ngalihake dana saka pangguna Ledger menyang dompet penyerang. Kode angkoro aktif kira-kira limang jam, kanthi nyolong mata uang kripto sing kedadeyan sajrone rong jam. Crypto-peneliti ZachXBT ngira mundhut dadi luwih saka $600,000. Ledger wis setya nulungi korban kanggo mbalekake dana lan dikonfirmasi manawa serangan kasebut diwatesi kanggo aplikasi pihak katelu kanthi nggunakake Ledger Connect Kit.
Ledger ngaku biasane ora mungkin mantan karyawan nyebarake versi piranti lunak sing mbebayani. Versi anyar mesthine bakal dideleng dening sawetara pihak sadurunge dirilis. Kajaba iku, karyawan sing ninggalake perusahaan kudu kelangan akses menyang sistem Ledger. Nanging, Ledger durung nerangake kenapa protokol kasebut gagal, nggambarake minangka 'kedadeyan terisolasi'. Dheweke wiwit ngluncurake versi resik saka Ledger Connect Kit lan nganyari 'rahasia' kanggo nyebarake kode liwat Ledger's GitHub.