암호화폐 지갑 제공업체인 레저(Ledger)는 보고했다 사용자에게 상당한 손실을 입힙니다. 범죄자들은 전직 직원을 대상으로 피싱 공격을 통해 Ledger Connect Kit의 악성 버전을 배포했습니다. 이 키트는 Ledger 암호화폐 지갑을 지갑 연결 웹사이트라고도 알려진 제XNUMX자 애플리케이션에 연결하는 중요한 JavaScript 라이브러리입니다.
어제 전 Ledger 직원이 피싱 공격을 받아 해커가 그의 NPMJS 계정에 액세스할 수 있게 되었습니다. NPMJS는 JavaScript 환경 Node.js의 중앙 패키지 관리자로, 세계 최대의 소프트웨어 저장소라고 주장합니다. 이는 공공, 개인 및 상업용 패키지의 방대한 아카이브를 호스팅합니다.
공격자는 전직 직원의 계정에 접근한 후 Ledger Connect Kit의 감염된 버전을 유포했습니다. 이 손상된 버전은 악성 WalletConnect 프로젝트를 사용하여 Ledger 사용자의 자금을 공격자의 지갑으로 전환했습니다. 악성코드는 약 XNUMX시간 동안 활동했으며, 암호화폐 탈취는 XNUMX시간여에 걸쳐 발생했다. 암호화폐 연구원 ZachXBT는 손실을 추정합니다. $600,000 이상이면 됩니다. Ledger는 피해자가 자금을 회수할 수 있도록 지원하기 위해 최선을 다했으며 공격이 Ledger Connect Kit를 사용하는 타사 앱으로 제한되어 있음을 확인했습니다.
Ledger는 전직 직원이 악성 소프트웨어 버전을 배포하는 것이 일반적으로 불가능하다고 주장합니다. 새 버전은 출시 전에 여러 당사자의 검토를 받아야 합니다. 또한 회사를 떠나는 직원은 Ledger 시스템에 대한 액세스 권한을 잃게 됩니다. 그러나 Ledger는 이러한 프로토콜이 실패한 이유를 설명하지 않았으며 이를 '고립된 사건'으로 설명했습니다. 이후 그들은 Ledger Connect Kit의 클린 버전을 출시하고 Ledger의 GitHub를 통해 코드를 배포하기 위한 '비밀'을 업데이트했습니다.