ليجر، هڪ مهيا ڪندڙ cryptocurrency wallets، ٻڌايو آهي ان جي استعمال ڪندڙن لاء هڪ اهم نقصان. ڏوهارين اڳوڻي ملازم تي فشنگ حملي ذريعي ليجر ڪنيڪٽ کٽ جو خراب نسخو ورهايو. هي ڪٽ هڪ اهم JavaScript لائبريري آهي جيڪا Ledger crypto wallets کي ٽئين پارٽي جي ايپليڪيشنن سان ڳنڍي ٿي، جنهن کي والٽ سان ڳنڍيل ويب سائيٽن جي نالي سان پڻ سڃاتو وڃي ٿو.
ڪالهه، هڪ اڳوڻو ليجر ملازم هڪ فشنگ حملي جو شڪار ٿي ويو، جنهن جي نتيجي ۾ هيڪرز هن جي NPMJS اڪائونٽ تائين رسائي حاصل ڪئي. NPMJS JavaScript ماحول Node.js لاءِ هڪ مرڪزي پيڪيج مينيجر آهي، جيڪا دعويٰ ڪري ٿي ته دنيا جو سڀ کان وڏو سافٽ ويئر ريپوزٽري آهي. اهو عوامي، نجي، ۽ تجارتي پيڪيجز جو هڪ وسيع آرڪائيو ميزبان آهي.
اڳوڻي ملازم جي اڪائونٽ تائين رسائي حاصل ڪرڻ کان پوء، حملي ڪندڙن ليجر ڪنيڪٽ کٽ جو هڪ متاثر ٿيل نسخو پکيڙيو. اهو سمجھوتو ورزن استعمال ڪيو ويو هڪ روگ WalletConnect پروجيڪٽ ليجر استعمال ڪندڙن کان فنڊز کي حملي ڪندڙن جي والٽس ڏانهن ڦيرائڻ لاءِ. بدسلوڪي ڪوڊ لڳ ڀڳ پنجن ڪلاڪن تائين سرگرم رهيو، جنهن ۾ ٻن ڪلاڪن کان وڌيڪ ڪرپٽو ڪرنسي چوري ٿي. Crypto-محقق ZachXBT نقصان جو اندازو لڳائي ٿو $600,000 کان مٿي هجڻ. ليجر متاثرين جي مدد ڪرڻ جو عزم ڪيو آهي انهن جي فنڊن جي وصولي ۾ ۽ تصديق ڪئي آهي ته حملو صرف ٽئين پارٽي ايپس تائين محدود هو Ledger Connect Kit استعمال ڪندي.
ليجر دعوي ڪري ٿو ته اهو عام طور تي ناممڪن آهي هڪ اڳوڻي ملازم لاء بدسلوڪي سافٽ ويئر ورزن کي ورهائڻ لاء. نون نسخن کي ڇڏڻ کان پهريان ڪيترن ئي پارٽين پاران جائزو وٺڻ گهرجي. اضافي طور تي، ڪمپني ڇڏڻ وارا ملازمن کي ليجر سسٽم تائين رسائي وڃائڻ گهرجي. بهرحال، ليجر وضاحت نه ڪئي آهي ته اهي پروٽوڪول ڇو ناڪام ٿيا، ان کي بيان ڪندي هڪ 'اڪيلائي وارو واقعو'. انهن کان وٺي ليجر ڪنيڪٽ کٽ جو صاف ورزن تيار ڪيو آهي ۽ ليجر جي گيٽ هب ذريعي ڪوڊ ورهائڻ لاءِ 'راز' کي اپڊيٽ ڪيو آهي.