लेजर, क्रिप्टोकरेन्सी वालेटहरूको प्रदायक, रिपोर्ट गरिएको छ यसको प्रयोगकर्ताहरूको लागि महत्त्वपूर्ण घाटा। अपराधीहरूले पूर्व कर्मचारीमा फिसिङ आक्रमण मार्फत लेजर जडान किटको खराब संस्करण वितरण गरे। यो किट एक महत्वपूर्ण JavaScript पुस्तकालय हो जसले लेजर क्रिप्टो वालेटहरूलाई तेस्रो-पक्ष अनुप्रयोगहरूमा लिङ्क गर्छ, जसलाई वालेट-जडित वेबसाइटहरू पनि भनिन्छ।
हिजो, एक पूर्व लेजर कर्मचारी फिसिङ आक्रमणको सिकार भयो, जसको परिणामस्वरूप ह्याकरहरूले उसको NPMJS खातामा पहुँच प्राप्त गरे। NPMJS जाभास्क्रिप्ट वातावरण Node.js को लागि केन्द्रीय प्याकेज प्रबन्धक हो, संसारको सबैभन्दा ठूलो सफ्टवेयर भण्डार भएको दाबी गर्दै। यसले सार्वजनिक, निजी र व्यावसायिक प्याकेजहरूको एक विशाल संग्रह होस्ट गर्दछ।
पूर्व कर्मचारीको खातामा पहुँच गरिसकेपछि, आक्रमणकारीहरूले लेजर जडान किटको संक्रमित संस्करण फैलाए। यो सम्झौता गरिएको संस्करणले लेजर प्रयोगकर्ताहरूबाट आक्रमणकारीको वालेटहरूमा रकम हटाउन दुष्ट WalletConnect परियोजना प्रयोग गर्यो। दुर्भावनापूर्ण कोड लगभग पाँच घण्टाको लागि सक्रिय थियो, क्रिप्टोकरेन्सी चोरी दुई घण्टा भन्दा बढी भएको थियो। क्रिप्टो-अनुसन्धानकर्ता ZachXBT घाटा अनुमान गर्दछ $ 600,000 भन्दा बढी हुन। लेजरले पीडितहरूलाई उनीहरूको कोष पुन: प्राप्तिमा सहयोग गर्ने प्रतिबद्धता जनाएको छ र लेजर जडान किट प्रयोग गरेर आक्रमण तेस्रो-पक्ष एपहरूमा सीमित भएको पुष्टि गरेको छ।
लेजर दावी गर्दछ कि यो सामान्यतया असम्भव छ कि एक पूर्व कर्मचारीले दुर्भावनापूर्ण सफ्टवेयर संस्करणहरू वितरण गर्न। नयाँ संस्करणहरू रिलीज हुनु अघि धेरै पक्षहरू द्वारा समीक्षा गरिनु पर्छ। थप रूपमा, कम्पनी छोड्ने कर्मचारीहरूले लेजर प्रणालीहरूमा पहुँच गुमाउनु पर्छ। यद्यपि, लेजरले यी प्रोटोकलहरू किन असफल भए, यसलाई 'पृथक घटना' भनेर वर्णन गर्दैनन्। तिनीहरूले लेजर जडान किटको सफा संस्करण रोल आउट गरेका छन् र लेजरको GitHub मार्फत कोड वितरणको लागि 'गोप्य कुराहरू' अद्यावधिक गरेका छन्।