Ledger, як провайдери ҳамёнҳои криптовалютӣ, гузориш додааст талафоти назаррас барои истифодабарандагони он. Ҷинояткорон як версияи зараровари маҷмӯаи Ledger Connectро тавассути ҳамлаи фишинг ба як корманди собиқ паҳн карданд. Ин маҷмӯа як китобхонаи муҳими JavaScript мебошад, ки ҳамёнҳои крипто Ledger-ро ба замимаҳои тарафи сеюм, ки бо номи вебсайтҳои бо ҳамён пайвастшуда низ маълуманд, мепайвандад.
Дирӯз як корманди собиқи Ledger қурбонии ҳамлаи фишинг шуд, ки дар натиҷа ҳакерҳо ба ҳисоби NPMJS-и ӯ дастрасӣ пайдо карданд. NPMJS як мудири бастаи марказии муҳити JavaScript Node.js буда, худро бузургтарин анбори нармафзор дар ҷаҳон медонад. Он дорои бойгонии васеи бастаҳои давлатӣ, хусусӣ ва тиҷоратӣ мебошад.
Бо ворид шудан ба ҳисоби собиқи корманд, ҳамлагарон версияи сироятшудаи Ledger Connect Kit-ро паҳн карданд. Ин версияи вайроншуда як лоиҳаи қаллобии WalletConnect-ро барои интиқол додани маблағ аз корбарони Ledger ба ҳамёнҳои ҳамлагарон истифода бурд. Рамзи зараровар тақрибан панҷ соат фаъол буд, ки дуздии криптовалюта зиёда аз ду соат рух додааст. Тадқиқотчии крипто ZachXBT талафотро ҳисоб мекунад зиёда аз 600,000 XNUMX доллар бошад. Ledger ӯҳдадор шудааст, ки ба қурбониён дар барқарор кардани маблағҳояшон кӯмак расонад ва тасдиқ кард, ки ҳамла танҳо бо барномаҳои тарафи сеюм бо истифода аз Ledger Connect Kit маҳдуд шудааст.
Ledger иддао мекунад, ки маъмулан барои як корманди собиқ паҳн кардани версияҳои нармафзори зараровар ғайриимкон аст. Версияҳои нав бояд пеш аз нашр аз ҷониби якчанд тарафҳо баррасӣ карда шаванд. Илова бар ин, кормандоне, ки ширкатро тарк мекунанд, бояд дастрасӣ ба системаҳои Ledgerро аз даст диҳанд. Аммо, Ледҷер шарҳ надодааст, ки чаро ин протоколҳо ноком шуданд ва онро ҳамчун "ҳодисаи ҷудогона" тавсиф карданд. Аз он вақт инҷониб онҳо версияи тозаи маҷмӯаи Ledger Connectро бароварданд ва "асрор" -ро барои паҳн кардани код тавассути GitHub Ledger навсозӣ карданд.