Ledger, kriptovalūtu maku nodrošinātājs, ir ziņojis ievērojamiem zaudējumiem tās lietotājiem. Noziedznieki izplatīja Ledger Connect Kit ļaunprātīgu versiju, izmantojot pikšķerēšanas uzbrukumu bijušajam darbiniekam. Šis komplekts ir ļoti svarīga JavaScript bibliotēka, kas saista Ledger kriptovalūtu maciņus ar trešo pušu lietojumprogrammām, kas pazīstamas arī kā vietnes, kas saistītas ar maku.
Vakar kāds bijušais Ledger darbinieks kļuva par pikšķerēšanas uzbrukuma upuri, kā rezultātā hakeri ieguva piekļuvi viņa NPMJS kontam. NPMJS ir JavaScript vides Node.js centrālais pakotņu pārvaldnieks, kas apgalvo, ka ir pasaulē lielākā programmatūras krātuve. Tajā atrodas plašs publisko, privāto un komerciālo pakešu arhīvs.
Piekļuvuši bijušā darbinieka kontam, uzbrucēji izplatīja inficētu Ledger Connect Kit versiju. Šajā apdraudētajā versijā tika izmantots negodīgs WalletConnect projekts, lai novirzītu līdzekļus no Ledger lietotājiem uzbrucēju makiem. Ļaunprātīgais kods bija aktīvs apmēram piecas stundas, un kriptovalūtas zādzība notika divu stundu laikā. Kriptopētnieks ZachXBT lēš zaudējumus būt vairāk nekā 600,000 XNUMX USD. Ledger ir apņēmies palīdzēt upuriem atgūt viņu līdzekļus un apstiprināja, ka uzbrukums bija ierobežots ar trešo pušu lietotnēm, izmantojot Ledger Connect Kit.
Ledger apgalvo, ka parasti bijušajam darbiniekam nav iespējams izplatīt ļaunprātīgas programmatūras versijas. Jaunās versijas pirms izlaišanas ir jāpārskata vairākām pusēm. Turklāt darbiniekiem, kuri pamet uzņēmumu, vajadzētu zaudēt piekļuvi Ledger sistēmām. Tomēr Ledžers nav paskaidrojis, kāpēc šie protokoli neizdevās, to raksturojot kā "izolētu incidentu". Kopš tā laika viņi ir izlaiduši tīru Ledger Connect Kit versiju un atjauninājuši "noslēpumus" koda izplatīšanai, izmantojot Ledger's GitHub.