ლეჯერი, კრიპტოვალუტის საფულეების პროვაიდერი, იტყობინება მნიშვნელოვანი ზარალი მისი მომხმარებლებისთვის. კრიმინალებმა გაავრცელეს Ledger Connect Kit-ის მავნე ვერსია ყოფილ თანამშრომელზე ფიშინგური თავდასხმის გზით. ეს ნაკრები არის გადამწყვეტი JavaScript ბიბლიოთეკა, რომელიც აკავშირებს Ledger-ის კრიპტო საფულეებს მესამე მხარის აპლიკაციებთან, რომლებიც ასევე ცნობილია როგორც საფულესთან დაკავშირებული ვებსაიტები.
გუშინ, ლეჯერის ყოფილი თანამშრომელი ფიშინგის შეტევის მსხვერპლი გახდა, რის შედეგადაც ჰაკერებმა მის NPMJS ანგარიშზე წვდომა მოიპოვეს. NPMJS არის პაკეტების ცენტრალური მენეჯერი JavaScript გარემოსთვის Node.js, რომელიც აცხადებს, რომ არის მსოფლიოში უდიდესი პროგრამული საცავი. მასში განთავსებულია საჯარო, კერძო და კომერციული პაკეტების დიდი არქივი.
ყოფილი თანამშრომლის ანგარიშზე წვდომის შემდეგ, თავდამსხმელებმა გაავრცელეს Ledger Connect Kit-ის ინფიცირებული ვერსია. ამ კომპრომეტირებულ ვერსიაში გამოიყენებოდა მტყუანი WalletConnect პროექტი, რათა გადაეტანა სახსრები Ledger-ის მომხმარებლებისგან თავდამსხმელთა საფულეზე. მავნე კოდი მოქმედებდა დაახლოებით ხუთი საათის განმავლობაში, კრიპტოვალუტის ქურდობა ორი საათის განმავლობაში ხდებოდა. კრიპტო-მკვლევარი ZachXBT აფასებს ზარალს იყოს 600,000 დოლარზე მეტი. ლეჯერმა აიღო ვალდებულება, დაეხმაროს მსხვერპლს სახსრების აღდგენაში და დაადასტურა, რომ თავდასხმა შემოიფარგლებოდა მესამე მხარის აპლიკაციებით Ledger Connect Kit-ის გამოყენებით.
ლეჯერი აცხადებს, რომ ყოფილი თანამშრომლისთვის, როგორც წესი, შეუძლებელია მავნე პროგრამული უზრუნველყოფის ვერსიების გავრცელება. ახალი ვერსიები უნდა განიხილებოდეს რამდენიმე მხარის მიერ გამოშვებამდე. გარდა ამისა, თანამშრომლებმა, რომლებიც ტოვებენ კომპანიას, უნდა დაკარგონ წვდომა ლეჯერის სისტემებზე. თუმცა, ლეჯერს არ განუმარტავს, თუ რატომ ვერ მოხერხდა ეს პროტოკოლები და აღწერს მას, როგორც "იზოლირებულ ინციდენტს". მას შემდეგ მათ გამოუშვეს Ledger Connect Kit-ის სუფთა ვერსია და განაახლეს "საიდუმლოები" კოდის გავრცელებისთვის Ledger's GitHub-ის მეშვეობით.