Криптовалютын түрийвч нийлүүлэгч Ledger, мэдээлсэн байна хэрэглэгчдийнхээ хувьд ихээхэн алдагдал хүлээсэн. Гэмт этгээдүүд хуучин ажилтан руу фишинг хийх замаар Ledger Connect Kit-ийн хортой хувилбарыг тараасан байна. Энэхүү иж бүрдэл нь Ledger крипто түрийвчийг түрийвчтэй холбогдсон вэбсайт гэгддэг гуравдагч талын програмуудтай холбодог чухал JavaScript номын сан юм.
Өчигдөр Ledger-ийн хуучин ажилтан фишинг халдлагад өртөж, хакерууд түүний NPMJS данс руу нэвтэрчээ. NPMJS нь JavaScript орчны Node.js-ийн төв багц менежер бөгөөд дэлхийн хамгийн том програм хангамжийн агуулах болно. Энэ нь олон нийтийн, хувийн болон арилжааны багцын асар их архивыг агуулдаг.
Хуучин ажилтны данс руу нэвтэрч, халдагчид Ledger Connect Kit-ийн халдвартай хувилбарыг тараасан байна. Энэхүү эвдэрсэн хувилбар нь Ledger хэрэглэгчдийн мөнгийг халдагчдын түрийвч рүү шилжүүлэхийн тулд хулгайч WalletConnect төслийг ашигласан. Хортой код таван цаг орчим идэвхтэй байсан бөгөөд криптовалютын хулгай хоёр цаг гаруй явагдсан байна. Crypto-судлаач ZachXBT алдагдлыг тооцоолж байна 600,000 доллараас дээш байх болно. Ledger хохирогчдод хөрөнгөө эргүүлэн авахад нь туслах үүрэг хүлээсэн бөгөөд халдлага нь зөвхөн Ledger Connect Kit ашиглан гуравдагч талын программууд байсан гэдгийг баталжээ.
Хуучин ажилтан хортой програм хангамжийн хувилбарыг түгээх нь ихэвчлэн боломжгүй гэж Ledger мэдэгджээ. Шинэ хувилбаруудыг гаргахаас өмнө олон тал хянаж үзэх ёстой. Нэмж дурдахад, компанийг орхиж буй ажилчид Ledger системд нэвтрэх эрхээ алдах ёстой. Гэсэн хэдий ч Леджер эдгээр протоколууд яагаад бүтэлгүйтсэнийг тайлбарлаагүй бөгөөд үүнийг "тусгаарлагдсан тохиолдол" гэж тайлбарлав. Үүний дараа тэд Ledger Connect Kit-ийн цэвэр хувилбарыг гаргаж, Ledger's GitHub-ээр дамжуулан код түгээх "нууц"-ыг шинэчилсэн.