Ledger, isang provider ng mga wallet ng cryptocurrency, ay naiulat isang malaking kawalan para sa mga gumagamit nito. Namahagi ang mga kriminal ng malisyosong bersyon ng Ledger Connect Kit sa pamamagitan ng pag-atake ng phishing sa isang dating empleyado. Ang kit na ito ay isang mahalagang JavaScript library na nag-uugnay sa Ledger crypto wallet sa mga third-party na application, na kilala rin bilang mga website na konektado sa wallet.
Kahapon, isang dating empleyado ng Ledger ang naging biktima ng phishing attack, na nagresulta sa pagkakaroon ng access ng mga hacker sa kanyang NPMJS account. Ang NPMJS ay isang sentral na tagapamahala ng pakete para sa kapaligiran ng JavaScript na Node.js, na nagsasabing ito ang pinakamalaking repositoryo ng software sa mundo. Nagho-host ito ng malawak na archive ng pampubliko, pribado, at komersyal na mga pakete.
Nang ma-access ang account ng dating empleyado, ikinakalat ng mga umaatake ang isang nahawaang bersyon ng Ledger Connect Kit. Gumamit ang nakompromisong bersyon na ito ng rogue na proyekto ng WalletConnect upang ilihis ang mga pondo mula sa mga user ng Ledger patungo sa mga wallet ng mga umaatake. Ang malisyosong code ay aktibo nang humigit-kumulang limang oras, na may cryptocurrency na pagnanakaw na nagaganap sa loob ng dalawang oras. Tinatantya ng Crypto-researcher na si ZachXBT ang pagkawala na higit sa $600,000. Ang Ledger ay nakatuon sa pagtulong sa mga biktima sa pagbawi ng kanilang mga pondo at kinumpirma na ang pag-atake ay limitado sa mga third-party na app gamit ang Ledger Connect Kit.
Sinasabi ng Ledger na karaniwang imposible para sa isang dating empleyado na ipamahagi ang mga malisyosong bersyon ng software. Ang mga bagong bersyon ay dapat na susuriin ng maraming partido bago ilabas. Bukod pa rito, ang mga empleyadong umaalis sa kumpanya ay dapat mawalan ng access sa mga system ng Ledger. Gayunpaman, hindi ipinaliwanag ng Ledger kung bakit nabigo ang mga protocol na ito, na inilalarawan ito bilang isang 'nakahiwalay na insidente'. Mula noon ay inilunsad nila ang isang malinis na bersyon ng Ledger Connect Kit at na-update ang 'mga lihim' para sa pamamahagi ng code sa pamamagitan ng GitHub ng Ledger.