Ledger, penyedia dompet mata wang kripto, telah melaporkan kerugian yang besar bagi penggunanya. Penjenayah mengedarkan versi jahat Kit Ledger Connect melalui serangan pancingan data ke atas bekas pekerja. Kit ini ialah perpustakaan JavaScript penting yang memautkan dompet crypto Ledger ke aplikasi pihak ketiga, yang juga dikenali sebagai tapak web berkaitan dompet.
Semalam, seorang bekas pekerja Ledger menjadi mangsa serangan pancingan data, menyebabkan penggodam mendapat akses ke akaun NPMJSnya. NPMJS ialah pengurus pakej pusat untuk persekitaran JavaScript Node.js, yang mendakwa sebagai repositori perisian terbesar di dunia. Ia menganjurkan arkib luas pakej awam, peribadi dan komersial.
Setelah mengakses akaun bekas pekerja, penyerang menyebarkan versi Kit Sambung Ledger yang dijangkiti. Versi yang dikompromi ini menggunakan projek WalletConnect penyangak untuk mengalihkan dana daripada pengguna Lejar ke dompet penyerang. Kod hasad itu aktif selama kira-kira lima jam, dengan kecurian mata wang kripto berlaku selama dua jam. Penyelidik Kripto ZachXBT menganggarkan kerugian menjadi lebih $600,000. Ledger telah komited untuk membantu mangsa mendapatkan semula dana mereka dan mengesahkan bahawa serangan itu terhad kepada apl pihak ketiga yang menggunakan Kit Sambung Ledger.
Ledger mendakwa bahawa adalah mustahil bagi bekas pekerja untuk mengedarkan versi perisian berniat jahat. Versi baharu sepatutnya disemak oleh berbilang pihak sebelum dikeluarkan. Selain itu, pekerja yang meninggalkan syarikat harus kehilangan akses kepada sistem Lejar. Walau bagaimanapun, Ledger tidak menjelaskan mengapa protokol ini gagal, menyifatkannya sebagai 'insiden terpencil'. Sejak itu mereka telah melancarkan versi bersih Kit Ledger Connect dan mengemas kini 'rahsia' untuk mengedarkan kod melalui GitHub Ledger.