ਲੇਜਰ, ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਵਾਲਿਟ ਦਾ ਪ੍ਰਦਾਤਾ, ਨੇ ਦੱਸਿਆ ਹੈ ਇਸਦੇ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਨੁਕਸਾਨ. ਅਪਰਾਧੀਆਂ ਨੇ ਇੱਕ ਸਾਬਕਾ ਕਰਮਚਾਰੀ 'ਤੇ ਫਿਸ਼ਿੰਗ ਹਮਲੇ ਦੁਆਰਾ ਲੇਜਰ ਕਨੈਕਟ ਕਿੱਟ ਦੇ ਇੱਕ ਖਤਰਨਾਕ ਸੰਸਕਰਣ ਨੂੰ ਵੰਡਿਆ। ਇਹ ਕਿੱਟ ਇੱਕ ਮਹੱਤਵਪੂਰਨ JavaScript ਲਾਇਬ੍ਰੇਰੀ ਹੈ ਜੋ ਲੇਜਰ ਕ੍ਰਿਪਟੋ ਵਾਲਿਟ ਨੂੰ ਤੀਜੀ-ਧਿਰ ਦੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨਾਲ ਜੋੜਦੀ ਹੈ, ਜਿਸਨੂੰ ਵਾਲਿਟ ਨਾਲ ਜੁੜੀਆਂ ਵੈੱਬਸਾਈਟਾਂ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
ਕੱਲ੍ਹ, ਇੱਕ ਸਾਬਕਾ ਲੇਜਰ ਕਰਮਚਾਰੀ ਇੱਕ ਫਿਸ਼ਿੰਗ ਹਮਲੇ ਦਾ ਸ਼ਿਕਾਰ ਹੋ ਗਿਆ, ਜਿਸਦੇ ਨਤੀਜੇ ਵਜੋਂ ਹੈਕਰਾਂ ਨੇ ਉਸਦੇ NPMJS ਖਾਤੇ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕੀਤੀ। NPMJS JavaScript ਵਾਤਾਵਰਣ Node.js ਲਈ ਇੱਕ ਕੇਂਦਰੀ ਪੈਕੇਜ ਮੈਨੇਜਰ ਹੈ, ਜੋ ਦੁਨੀਆ ਦਾ ਸਭ ਤੋਂ ਵੱਡਾ ਸਾਫਟਵੇਅਰ ਰਿਪੋਜ਼ਟਰੀ ਹੋਣ ਦਾ ਦਾਅਵਾ ਕਰਦਾ ਹੈ। ਇਹ ਜਨਤਕ, ਨਿੱਜੀ ਅਤੇ ਵਪਾਰਕ ਪੈਕੇਜਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਪੁਰਾਲੇਖ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਦਾ ਹੈ।
ਸਾਬਕਾ ਕਰਮਚਾਰੀ ਦੇ ਖਾਤੇ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਹਮਲਾਵਰਾਂ ਨੇ ਲੇਜਰ ਕਨੈਕਟ ਕਿੱਟ ਦਾ ਇੱਕ ਸੰਕਰਮਿਤ ਸੰਸਕਰਣ ਫੈਲਾ ਦਿੱਤਾ। ਇਸ ਸਮਝੌਤਾ ਵਾਲੇ ਸੰਸਕਰਣ ਨੇ ਲੇਜ਼ਰ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਫੰਡਾਂ ਨੂੰ ਹਮਲਾਵਰਾਂ ਦੇ ਵਾਲਿਟ ਵਿੱਚ ਮੋੜਨ ਲਈ ਇੱਕ ਠੱਗ WalletConnect ਪ੍ਰੋਜੈਕਟ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਖਤਰਨਾਕ ਕੋਡ ਲਗਭਗ ਪੰਜ ਘੰਟਿਆਂ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਰਿਹਾ, ਦੋ ਘੰਟਿਆਂ ਤੋਂ ਵੱਧ ਸਮੇਂ ਵਿੱਚ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਚੋਰੀ ਹੋਣ ਦੇ ਨਾਲ। ਕ੍ਰਿਪਟੋ-ਖੋਜਕਾਰ ਜ਼ੈਚਐਕਸਬੀਟੀ ਨੇ ਨੁਕਸਾਨ ਦਾ ਅੰਦਾਜ਼ਾ ਲਗਾਇਆ ਹੈ $600,000 ਤੋਂ ਵੱਧ ਹੋਣ ਲਈ। ਲੇਜਰ ਨੇ ਪੀੜਤਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਫੰਡਾਂ ਦੀ ਰਿਕਵਰੀ ਵਿੱਚ ਸਹਾਇਤਾ ਕਰਨ ਲਈ ਵਚਨਬੱਧ ਕੀਤਾ ਹੈ ਅਤੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਹੈ ਕਿ ਹਮਲਾ ਲੇਜਰ ਕਨੈਕਟ ਕਿੱਟ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਤੀਜੀ-ਧਿਰ ਦੀਆਂ ਐਪਾਂ ਤੱਕ ਸੀਮਿਤ ਸੀ।
ਲੇਜਰ ਦਾਅਵਾ ਕਰਦਾ ਹੈ ਕਿ ਕਿਸੇ ਸਾਬਕਾ ਕਰਮਚਾਰੀ ਲਈ ਖਤਰਨਾਕ ਸੌਫਟਵੇਅਰ ਸੰਸਕਰਣਾਂ ਨੂੰ ਵੰਡਣਾ ਆਮ ਤੌਰ 'ਤੇ ਅਸੰਭਵ ਹੁੰਦਾ ਹੈ। ਨਵੇਂ ਸੰਸਕਰਣਾਂ ਦੀ ਰੀਲੀਜ਼ ਤੋਂ ਪਹਿਲਾਂ ਕਈ ਪਾਰਟੀਆਂ ਦੁਆਰਾ ਸਮੀਖਿਆ ਕੀਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਕੰਪਨੀ ਛੱਡਣ ਵਾਲੇ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਲੇਜਰ ਸਿਸਟਮਾਂ ਤੱਕ ਪਹੁੰਚ ਗੁਆ ਦੇਣੀ ਚਾਹੀਦੀ ਹੈ। ਹਾਲਾਂਕਿ, ਲੇਜਰ ਨੇ ਇਹ ਨਹੀਂ ਦੱਸਿਆ ਹੈ ਕਿ ਇਹ ਪ੍ਰੋਟੋਕੋਲ ਫੇਲ੍ਹ ਕਿਉਂ ਹੋਏ, ਇਸ ਨੂੰ 'ਇਕੱਲੀ ਘਟਨਾ' ਵਜੋਂ ਬਿਆਨ ਕਰਦੇ ਹੋਏ। ਉਹਨਾਂ ਨੇ ਲੇਜਰ ਕਨੈਕਟ ਕਿੱਟ ਦਾ ਇੱਕ ਸਾਫ਼ ਸੰਸਕਰਣ ਤਿਆਰ ਕੀਤਾ ਹੈ ਅਤੇ ਲੇਜਰ ਦੇ ਗਿਟਹੱਬ ਦੁਆਰਾ ਕੋਡ ਵੰਡਣ ਲਈ 'ਰਾਜ਼' ਨੂੰ ਅਪਡੇਟ ਕੀਤਾ ਹੈ।