ക്രിപ്റ്റോകറൻസി വാലറ്റുകളുടെ ദാതാവായ ലെഡ്ജർ, റിപ്പോർട്ട് ചെയ്തു അതിന്റെ ഉപയോക്താക്കൾക്ക് കാര്യമായ നഷ്ടം. ഒരു മുൻ ജീവനക്കാരനെ ഫിഷിംഗ് ആക്രമണത്തിലൂടെ കുറ്റവാളികൾ ലെഡ്ജർ കണക്റ്റ് കിറ്റിന്റെ ക്ഷുദ്രകരമായ പതിപ്പ് വിതരണം ചെയ്തു. ലെഡ്ജർ ക്രിപ്റ്റോ വാലറ്റുകളെ മൂന്നാം കക്ഷി ആപ്ലിക്കേഷനുകളിലേക്ക് ലിങ്ക് ചെയ്യുന്ന ഒരു നിർണായക JavaScript ലൈബ്രറിയാണ് ഈ കിറ്റ്, വാലറ്റ്-കണക്റ്റഡ് വെബ്സൈറ്റുകൾ എന്നും അറിയപ്പെടുന്നു.
ഇന്നലെ, ഒരു മുൻ ലെഡ്ജർ ജീവനക്കാരൻ ഫിഷിംഗ് ആക്രമണത്തിന് ഇരയായി, അതിന്റെ ഫലമായി ഹാക്കർമാർ അവന്റെ NPMJS അക്കൗണ്ടിലേക്ക് ആക്സസ് നേടി. NPMJS, ലോകത്തിലെ ഏറ്റവും വലിയ സോഫ്റ്റ്വെയർ ശേഖരമാണെന്ന് അവകാശപ്പെടുന്ന JavaScript എൻവയോൺമെന്റ് Node.js-ന്റെ കേന്ദ്ര പാക്കേജ് മാനേജരാണ്. പൊതു, സ്വകാര്യ, വാണിജ്യ പാക്കേജുകളുടെ വിപുലമായ ആർക്കൈവ് ഇത് ഹോസ്റ്റുചെയ്യുന്നു.
മുൻ ജീവനക്കാരന്റെ അക്കൗണ്ട് ആക്സസ് ചെയ്ത ശേഷം, ആക്രമണകാരികൾ ലെഡ്ജർ കണക്റ്റ് കിറ്റിന്റെ രോഗബാധിതമായ പതിപ്പ് പ്രചരിപ്പിച്ചു. ഈ അപഹരിക്കപ്പെട്ട പതിപ്പ് ലെഡ്ജർ ഉപയോക്താക്കളിൽ നിന്ന് ആക്രമണകാരികളുടെ വാലറ്റുകളിലേക്ക് പണം തിരിച്ചുവിടാൻ ഒരു തെമ്മാടി വാലറ്റ് കണക്റ്റ് പ്രോജക്റ്റ് ഉപയോഗിച്ചു. ക്ഷുദ്രകരമായ കോഡ് ഏകദേശം അഞ്ച് മണിക്കൂറോളം സജീവമായിരുന്നു, രണ്ട് മണിക്കൂറിലധികം ക്രിപ്റ്റോകറൻസി മോഷണം നടക്കുന്നു. ക്രിപ്റ്റോ-ഗവേഷകനായ ZachXBT നഷ്ടം കണക്കാക്കുന്നു $600,000-ൽ കൂടുതലായിരിക്കും. ഇരകളുടെ ഫണ്ട് വീണ്ടെടുക്കുന്നതിൽ അവരെ സഹായിക്കാൻ ലെഡ്ജർ പ്രതിജ്ഞാബദ്ധമാണ്, കൂടാതെ ലെഡ്ജർ കണക്റ്റ് കിറ്റ് ഉപയോഗിച്ച് മൂന്നാം കക്ഷി ആപ്പുകൾക്ക് മാത്രമായി ആക്രമണം പരിമിതപ്പെടുത്തിയിട്ടുണ്ടെന്നും സ്ഥിരീകരിച്ചു.
ഒരു മുൻ ജീവനക്കാരന് ക്ഷുദ്രകരമായ സോഫ്റ്റ്വെയർ പതിപ്പുകൾ വിതരണം ചെയ്യുന്നത് സാധാരണഗതിയിൽ അസാധ്യമാണെന്ന് ലെഡ്ജർ അവകാശപ്പെടുന്നു. പുതിയ പതിപ്പുകൾ റിലീസിന് മുമ്പ് ഒന്നിലധികം കക്ഷികൾ അവലോകനം ചെയ്യേണ്ടതാണ്. കൂടാതെ, കമ്പനി വിടുന്ന ജീവനക്കാർക്ക് ലെഡ്ജർ സിസ്റ്റങ്ങളിലേക്കുള്ള ആക്സസ് നഷ്ടപ്പെടും. എന്നിരുന്നാലും, ഈ പ്രോട്ടോക്കോളുകൾ പരാജയപ്പെട്ടത് എന്തുകൊണ്ടാണെന്ന് ലെഡ്ജർ വിശദീകരിച്ചിട്ടില്ല, ഇതിനെ ഒരു 'ഒറ്റപ്പെട്ട സംഭവം' എന്ന് വിശേഷിപ്പിക്കുന്നു. അതിനുശേഷം അവർ ലെഡ്ജർ കണക്റ്റ് കിറ്റിന്റെ ഒരു ക്ലീൻ പതിപ്പ് പുറത്തിറക്കുകയും ലെഡ്ജറിന്റെ GitHub വഴി കോഡ് വിതരണം ചെയ്യുന്നതിനുള്ള 'രഹസ്യങ്ങൾ' അപ്ഡേറ്റ് ചെയ്യുകയും ചെയ്തു.