Ledger, een aanbieder van portemonnees voor cryptocurrency, heeft gemeld een aanzienlijk verlies voor zijn gebruikers. Criminelen verspreidden een kwaadaardige versie van de Ledger Connect Kit via een phishing-aanval op een voormalig werknemer. Deze kit is een cruciale JavaScript-bibliotheek die Ledger-cryptoportefeuilles koppelt aan applicaties van derden, ook wel portemonnee-verbonden websites genoemd.
Gisteren werd een voormalige Ledger-medewerker het slachtoffer van een phishing-aanval, waardoor hackers toegang kregen tot zijn NPMJS-account. NPMJS is een centrale pakketbeheerder voor de JavaScript-omgeving Node.js en beweert 's werelds grootste softwareopslagplaats te zijn. Het herbergt een enorm archief van openbare, particuliere en commerciële pakketten.
Nadat ze toegang hadden gekregen tot het account van de voormalige werknemer, verspreidden de aanvallers een geïnfecteerde versie van de Ledger Connect Kit. Deze gecompromitteerde versie maakte gebruik van een frauduleus WalletConnect-project om geld van Ledger-gebruikers naar de portemonnee van de aanvallers te leiden. De kwaadaardige code was ongeveer vijf uur actief, terwijl de diefstal van cryptocurrency in twee uur plaatsvond. Crypto-onderzoeker ZachXBT schat de schade in ruim 600,000 dollar bedragen. Ledger heeft zich ertoe verbonden de slachtoffers te helpen bij het terugkrijgen van hun geld en bevestigde dat de aanval beperkt was tot apps van derden die de Ledger Connect Kit gebruikten.
Ledger beweert dat het voor een ex-werknemer doorgaans onmogelijk is om kwaadaardige softwareversies te verspreiden. Het is de bedoeling dat nieuwe versies door meerdere partijen worden beoordeeld voordat ze worden uitgebracht. Bovendien zouden werknemers die het bedrijf verlaten de toegang tot Ledger-systemen moeten verliezen. Ledger heeft echter niet uitgelegd waarom deze protocollen faalden en beschrijft het als een ‘geïsoleerd incident’. Sindsdien hebben ze een schone versie van de Ledger Connect Kit uitgerold en de 'geheimen' voor het distribueren van code via Ledger's GitHub bijgewerkt.