लेजर, क्रिप्टोकरन्सी वॉलेटचा प्रदाता, नोंदवले आहे त्याच्या वापरकर्त्यांसाठी एक महत्त्वपूर्ण नुकसान. माजी कर्मचाऱ्यावर फिशिंग हल्ल्याद्वारे गुन्हेगारांनी लेजर कनेक्ट किटची दुर्भावनापूर्ण आवृत्ती वितरित केली. हे किट एक महत्त्वपूर्ण JavaScript लायब्ररी आहे जे लेजर क्रिप्टो वॉलेटला तृतीय-पक्ष अनुप्रयोगांशी जोडते, ज्याला वॉलेट-कनेक्टेड वेबसाइट्स म्हणूनही ओळखले जाते.
काल, एक माजी लेजर कर्मचारी फिशिंग हल्ल्याला बळी पडला, परिणामी हॅकर्सना त्याच्या NPMJS खात्यात प्रवेश मिळाला. NPMJS हे JavaScript पर्यावरण Node.js चे केंद्रीय पॅकेज व्यवस्थापक आहे, जे जगातील सर्वात मोठे सॉफ्टवेअर भांडार असल्याचा दावा करते. हे सार्वजनिक, खाजगी आणि व्यावसायिक पॅकेजेसचे विशाल संग्रहण होस्ट करते.
माजी कर्मचाऱ्याच्या खात्यात प्रवेश केल्यावर, हल्लेखोरांनी लेजर कनेक्ट किटची संक्रमित आवृत्ती पसरवली. या तडजोड केलेल्या आवृत्तीने लेजर वापरकर्त्यांकडील निधी हल्लेखोरांच्या वॉलेटमध्ये वळवण्यासाठी एक बदमाश WalletConnect प्रकल्प वापरला. दुर्भावनायुक्त कोड सुमारे पाच तास सक्रिय होता, दोन तासांहून अधिक क्रिप्टोकरन्सीची चोरी झाली. क्रिप्टो-संशोधक ZachXBT नुकसानीचा अंदाज लावतो $600,000 पेक्षा जास्त असणे. लेजरने पीडितांना त्यांचा निधी वसूल करण्यात मदत करण्यासाठी वचनबद्ध केले आहे आणि लेजर कनेक्ट किट वापरून हल्ला तृतीय-पक्ष अॅप्सपुरता मर्यादित असल्याची पुष्टी केली आहे.
लेजरचा दावा आहे की एखाद्या माजी कर्मचाऱ्यासाठी दुर्भावनापूर्ण सॉफ्टवेअर आवृत्त्या वितरित करणे सामान्यत: अशक्य आहे. नवीन आवृत्त्यांचे रिलीझपूर्वी एकाधिक पक्षांद्वारे पुनरावलोकन केले जावे असे मानले जाते. याव्यतिरिक्त, कंपनी सोडून जाणाऱ्या कर्मचाऱ्यांनी लेजर सिस्टममधील प्रवेश गमावला पाहिजे. तथापि, लेजरने हे प्रोटोकॉल का अयशस्वी झाले याचे स्पष्टीकरण दिलेले नाही, त्याचे वर्णन एक 'पृथक घटना' म्हणून केले आहे. त्यानंतर त्यांनी लेजर कनेक्ट किटची स्वच्छ आवृत्ती आणली आहे आणि लेजरच्या गिटहबद्वारे कोड वितरित करण्यासाठी ‘सिक्रेट्स’ अपडेट केले आहेत.