Ledger, kriptovaliutų piniginių tiekėjas, pranešė didelių nuostolių jos vartotojams. Nusikaltėliai išplatino kenkėjišką Ledger Connect Kit versiją per sukčiavimo ataką prieš buvusį darbuotoją. Šis rinkinys yra labai svarbi „JavaScript“ biblioteka, susiejanti „Ledger“ kriptovaliutų pinigines su trečiųjų šalių programomis, taip pat žinoma kaip su pinigine susietomis svetainėmis.
Vakar buvęs „Ledger“ darbuotojas tapo sukčiavimo atakos auka, dėl kurios įsilaužėliai gavo prieigą prie jo NPMJS paskyros. NPMJS yra centrinė „JavaScript“ aplinkos „Node.js“ paketų tvarkyklė, teigianti esanti didžiausia pasaulyje programinės įrangos saugykla. Jame yra didžiulis viešųjų, privačių ir komercinių paketų archyvas.
Prisijungę prie buvusio darbuotojo paskyros, užpuolikai išplatino užkrėstą Ledger Connect Kit versiją. Šioje pažeistoje versijoje buvo naudojamas nesąžiningas „WalletConnect“ projektas, kad „Ledger“ vartotojų lėšos būtų nukreiptos į užpuolikų pinigines. Kenkėjiškas kodas buvo aktyvus maždaug penkias valandas, o kriptovaliutos vagystės įvyko per dvi valandas. Kriptotyrininkas ZachXBT apskaičiavo nuostolius viršyti 600,000 XNUMX USD. „Ledger“ įsipareigojo padėti aukoms susigrąžinti lėšas ir patvirtino, kad ataka apsiribojo trečiųjų šalių programėlėmis, naudojančiomis „Ledger Connect Kit“.
Ledger teigia, kad įprastai buvusiam darbuotojui neįmanoma platinti kenkėjiškos programinės įrangos versijų. Naujas versijas prieš išleidžiant turėtų peržiūrėti kelios šalys. Be to, darbuotojai, paliekantys įmonę, turėtų prarasti prieigą prie Ledger sistemų. Tačiau Ledgeris nepaaiškino, kodėl šie protokolai nepavyko, apibūdindamas tai kaip „atskirą incidentą“. Nuo tada jie išleido švarią „Ledger Connect Kit“ versiją ir atnaujino kodo platinimo „paslaptis“ per „Ledger's GitHub“.