Ledger, fornecedora de carteiras de criptomoedas, relatou uma perda significativa para seus usuários. Os criminosos distribuíram uma versão maliciosa do Ledger Connect Kit por meio de um ataque de phishing a um ex-funcionário. Este kit é uma biblioteca JavaScript crucial que vincula carteiras criptografadas Ledger a aplicativos de terceiros, também conhecidos como sites conectados à carteira.
Ontem, um ex-funcionário da Ledger foi vítima de um ataque de phishing, resultando no acesso de hackers à sua conta NPMJS. NPMJS é um gerenciador central de pacotes para o ambiente JavaScript Node.js, afirmando ser o maior repositório de software do mundo. Ele hospeda um vasto arquivo de pacotes públicos, privados e comerciais.
Tendo acessado a conta do ex-funcionário, os invasores espalharam uma versão infectada do Ledger Connect Kit. Esta versão comprometida usou um projeto desonesto do WalletConnect para desviar fundos dos usuários do Ledger para as carteiras dos invasores. O código malicioso ficou ativo por cerca de cinco horas, e o roubo de criptomoedas ocorreu durante mais de duas horas. O pesquisador de criptografia ZachXBT estima a perda ser superior a US$ 600,000. A Ledger se comprometeu a ajudar as vítimas a recuperar seus fundos e confirmou que o ataque foi limitado a aplicativos de terceiros que usam o Ledger Connect Kit.
Ledger afirma que normalmente é impossível para um ex-funcionário distribuir versões de software malicioso. As novas versões devem ser revisadas por várias partes antes do lançamento. Além disso, os funcionários que saírem da empresa deverão perder o acesso aos sistemas Ledger. No entanto, Ledger não explicou porque é que estes protocolos falharam, descrevendo-o como um “incidente isolado”. Desde então, eles lançaram uma versão limpa do Ledger Connect Kit e atualizaram os ‘segredos’ para distribuição de código através do GitHub do Ledger.