Ledger, panyadia dompét cryptocurrency, geus dilaporkeun leungitna signifikan pikeun pamaké na. Penjahat nyebarkeun versi jahat tina Ledger Connect Kit ngaliwatan serangan phishing dina urut pagawe. Kit ieu mangrupikeun perpustakaan JavaScript anu penting anu ngaitkeun dompét crypto Ledger ka aplikasi pihak katilu, ogé katelah situs wéb anu nyambungkeun dompét.
Kamari, urut pagawe Ledger jadi korban serangan phishing, hasilna hacker meunang aksés ka akun NPMJS na. NPMJS mangrupakeun manajer pakét sentral pikeun lingkungan JavaScript Node.js, ngaku salaku gudang software pangbadagna di dunya. Éta ngagaduhan arsip anu ageung tina bungkusan umum, swasta, sareng komérsial.
Saatos ngaksés akun tilas karyawan, panyerang nyebarkeun versi katépaan tina Ledger Connect Kit. Versi anu dikompromi ieu ngagunakeun proyék WalletConnect anu jahat pikeun mindahkeun dana ti pangguna Ledger ka dompét panyerang. Kodeu jahat ieu aktip salila kira lima jam, jeung maling cryptocurrency lumangsung leuwih dua jam. Crypto-panalungtik ZachXBT estimasi leungitna janten langkung ti $600,000. Ledger geus komitmen pikeun mantuan korban dina recovering dana maranéhanana sarta dikonfirmasi yén serangan ieu dugi ka aktip pihak katilu ngagunakeun Ledger Connect Kit.
Ledger ngaklaim yén ilaharna teu mungkin pikeun urut pagawe ngadistribusikaeun versi software jahat. Versi anyar sakuduna ditinjau ku sababaraha pihak sateuacan dileupaskeun. Salaku tambahan, karyawan anu ninggalkeun perusahaan kedah kaleungitan aksés kana sistem Ledger. Tapi, Ledger henteu ngajelaskeun naha protokol ieu gagal, ngajelaskeun éta salaku 'kajadian terasing'. Aranjeunna ti saprak ngagulung versi bersih tina Ledger Connect Kit sareng ngapdet 'rahasia' pikeun nyebarkeun kode ngalangkungan Ledger's GitHub.