لیجر، کرپٹو کرنسی بٹوے فراہم کرنے والا، رپورٹ دی ہے اس کے صارفین کے لیے ایک اہم نقصان۔ مجرموں نے سابق ملازم پر فشنگ حملے کے ذریعے لیجر کنیکٹ کٹ کا بدنیتی پر مبنی ورژن تقسیم کیا۔ یہ کٹ ایک اہم JavaScript لائبریری ہے جو Ledger crypto wallets کو فریق ثالث ایپلی کیشنز سے جوڑتی ہے، جسے والٹ سے منسلک ویب سائٹس بھی کہا جاتا ہے۔
کل، لیجر کا ایک سابق ملازم فشنگ حملے کا شکار ہوا، جس کے نتیجے میں ہیکرز کو اس کے NPMJS اکاؤنٹ تک رسائی حاصل ہوئی۔ NPMJS JavaScript ماحول Node.js کے لیے ایک مرکزی پیکیج مینیجر ہے، جو دنیا کا سب سے بڑا سافٹ ویئر ذخیرہ ہونے کا دعویٰ کرتا ہے۔ یہ عوامی، نجی اور تجارتی پیکجوں کے وسیع ذخیرہ کی میزبانی کرتا ہے۔
سابق ملازم کے اکاؤنٹ تک رسائی حاصل کرنے کے بعد، حملہ آوروں نے لیجر کنیکٹ کٹ کا ایک متاثرہ ورژن پھیلا دیا۔ اس سمجھوتہ شدہ ورژن نے لیجر صارفین کے فنڈز کو حملہ آوروں کے بٹوے میں منتقل کرنے کے لیے ایک بدمعاش WalletConnect پروجیکٹ کا استعمال کیا۔ بدنیتی پر مبنی کوڈ تقریباً پانچ گھنٹے تک فعال رہا، جس میں کرپٹو کرنسی کی چوری دو گھنٹے کے دوران ہوئی۔ کرپٹو محقق ZachXBT نقصان کا تخمینہ لگاتا ہے۔ $600,000 سے زیادہ ہونا۔ لیجر نے متاثرین کو ان کے فنڈز کی وصولی میں مدد کرنے کا عہد کیا ہے اور اس بات کی تصدیق کی ہے کہ یہ حملہ لیجر کنیکٹ کٹ کا استعمال کرتے ہوئے تھرڈ پارٹی ایپس تک محدود تھا۔
لیجر کا دعویٰ ہے کہ کسی سابق ملازم کے لیے نقصان دہ سافٹ ویئر ورژن تقسیم کرنا عام طور پر ناممکن ہے۔ نئے ورژن کا ریلیز سے پہلے متعدد فریقوں کے ذریعہ جائزہ لیا جانا چاہئے۔ مزید برآں، کمپنی چھوڑنے والے ملازمین کو لیجر سسٹم تک رسائی سے محروم ہونا چاہیے۔ تاہم، لیجر نے اس بات کی وضاحت نہیں کی ہے کہ یہ پروٹوکول کیوں ناکام ہوئے، اسے 'الگ تھلگ واقعہ' کے طور پر بیان کیا۔ اس کے بعد انہوں نے لیجر کنیکٹ کٹ کا کلین ورژن تیار کیا ہے اور لیجر کے گٹ ہب کے ذریعے کوڈ کی تقسیم کے لیے 'راز' کو اپ ڈیٹ کیا ہے۔