లెడ్జర్, క్రిప్టోకరెన్సీ వాలెట్ల ప్రొవైడర్, నివేదించింది దాని వినియోగదారులకు గణనీయమైన నష్టం. మాజీ ఉద్యోగిపై ఫిషింగ్ దాడి ద్వారా నేరస్థులు లెడ్జర్ కనెక్ట్ కిట్ యొక్క హానికరమైన సంస్కరణను పంపిణీ చేశారు. ఈ కిట్ కీలకమైన జావాస్క్రిప్ట్ లైబ్రరీ, ఇది లెడ్జర్ క్రిప్టో వాలెట్లను థర్డ్-పార్టీ అప్లికేషన్లకు లింక్ చేస్తుంది, వీటిని వాలెట్-కనెక్ట్ చేసిన వెబ్సైట్లు అని కూడా పిలుస్తారు.
నిన్న, ఒక మాజీ లెడ్జర్ ఉద్యోగి ఫిషింగ్ దాడికి బలి అయ్యాడు, దీని ఫలితంగా హ్యాకర్లు అతని NPMJS ఖాతాకు ప్రాప్యతను పొందారు. NPMJS అనేది JavaScript ఎన్విరాన్మెంట్ Node.js కోసం సెంట్రల్ ప్యాకేజీ మేనేజర్, ఇది ప్రపంచంలోనే అతిపెద్ద సాఫ్ట్వేర్ రిపోజిటరీగా పేర్కొంది. ఇది పబ్లిక్, ప్రైవేట్ మరియు వాణిజ్య ప్యాకేజీల యొక్క విస్తారమైన ఆర్కైవ్ను హోస్ట్ చేస్తుంది.
మాజీ ఉద్యోగి ఖాతాను యాక్సెస్ చేసిన తర్వాత, దాడి చేసేవారు లెడ్జర్ కనెక్ట్ కిట్ యొక్క సోకిన సంస్కరణను వ్యాప్తి చేశారు. ఈ రాజీపడిన సంస్కరణ లెడ్జర్ వినియోగదారుల నుండి దాడి చేసేవారి వాలెట్లకు నిధులను మళ్లించడానికి ఒక రోగ్ WalletConnect ప్రాజెక్ట్ను ఉపయోగించింది. హానికరమైన కోడ్ దాదాపు ఐదు గంటల పాటు యాక్టివ్గా ఉంది, క్రిప్టోకరెన్సీ దొంగతనం రెండు గంటలకు పైగా జరిగింది. క్రిప్టో-పరిశోధకుడు ZachXBT నష్టాన్ని అంచనా వేసింది $600,000 కంటే ఎక్కువ ఉండాలి. బాధితుల నిధులను రికవరీ చేయడంలో వారికి సహాయం చేయడానికి లెడ్జర్ కట్టుబడి ఉంది మరియు లెడ్జర్ కనెక్ట్ కిట్ని ఉపయోగించి దాడి మూడవ పక్ష యాప్లకే పరిమితమైందని ధృవీకరించింది.
ఒక మాజీ ఉద్యోగి హానికరమైన సాఫ్ట్వేర్ వెర్షన్లను పంపిణీ చేయడం సాధారణంగా అసాధ్యమని లెడ్జర్ పేర్కొంది. కొత్త సంస్కరణలు విడుదలకు ముందు బహుళ పార్టీలచే సమీక్షించబడాలి. అదనంగా, కంపెనీని విడిచిపెట్టిన ఉద్యోగులు లెడ్జర్ సిస్టమ్లకు ప్రాప్యతను కోల్పోతారు. అయితే, ఈ ప్రోటోకాల్లు ఎందుకు విఫలమయ్యాయో లెడ్జర్ వివరించలేదు, దీనిని 'ఏకాంత సంఘటన'గా అభివర్ణించారు. వారు లెడ్జర్ కనెక్ట్ కిట్ యొక్క క్లీన్ వెర్షన్ను రూపొందించారు మరియు లెడ్జర్ యొక్క GitHub ద్వారా కోడ్ని పంపిణీ చేయడానికి 'సీక్రెట్స్'ని అప్డేట్ చేసారు.