Ledger, fornitur ta' kartieri kripto-munita, irrapporta telf sinifikanti għall-utenti tagħha. Il-kriminali qassam verżjoni malizzjuża tal-Ledger Connect Kit permezz ta’ attakk ta’ phishing fuq eks impjegat. Dan il-kit huwa librerija JavaScript kruċjali li tgħaqqad il-kartieri kripto Ledger ma 'applikazzjonijiet ta' partijiet terzi, magħrufa wkoll bħala websajts konnessi mal-kartiera.
Ilbieraħ, eks impjegat ta' Ledger safa vittma ta' attakk ta' phishing, li wassal biex il-hackers jiksbu aċċess għall-kont NPMJS tiegħu. NPMJS huwa maniġer tal-pakkett ċentrali għall-ambjent JavaScript Node.js, li jallega li huwa l-akbar repożitorju tas-softwer fid-dinja. Jospita arkivju vast ta' pakketti pubbliċi, privati u kummerċjali.
Wara li aċċessaw il-kont tal-ex impjegat, l-attakkanti xerrdu verżjoni infettata tal-Ledger Connect Kit. Din il-verżjoni kompromessa użat proġett WalletConnect diżonesti biex tiddevja fondi mill-utenti tal-Ledger għall-kartieri tal-attakkanti. Il-kodiċi malizzjuż kien attiv għal madwar ħames sigħat, bis-serq tal-kripto-munita jseħħ fuq sagħtejn. Ir-riċerkatur kripto ZachXBT jistma t-telf li jkun aktar minn $600,000. Ledger impenjat ruħha li tassisti lill-vittmi biex jirkupraw il-fondi tagħhom u kkonferma li l-attakk kien limitat għal apps ta' partijiet terzi bl-użu tal-Ledger Connect Kit.
Ledger isostni li huwa tipikament impossibbli għal ex-impjegat li jqassam verżjonijiet ta' softwer malizzjuż. Verżjonijiet ġodda suppost jiġu riveduti minn partijiet multipli qabel ir-rilaxx. Barra minn hekk, l-impjegati li jħallu l-kumpanija għandhom jitilfu l-aċċess għas-sistemi Ledger. Madankollu, Ledger ma spjegax għaliex dawn il-protokolli fallew, u ddeskrivieh bħala 'inċident iżolat'. Minn dakinhar ħarġu verżjoni nadifa tal-Ledger Connect Kit u aġġornaw is-'sigrieti' għad-distribuzzjoni tal-kodiċi permezz tal-GitHub ta 'Ledger.