Ledger, kriptovalyuta hamyonlari provayderi, xabar berdi foydalanuvchilari uchun sezilarli yo'qotish. Jinoyatchilar sobiq xodimga fishing hujumi orqali Ledger Connect Kitning zararli versiyasini tarqatishdi. Ushbu to'plam Ledger kripto hamyonlarini hamyonga ulangan veb-saytlar sifatida ham tanilgan uchinchi tomon ilovalari bilan bog'laydigan muhim JavaScript kutubxonasidir.
Kecha Ledgerning sobiq xodimi fishing hujumi qurboni bo‘ldi, natijada xakerlar uning NPMJS akkauntiga kirishga muvaffaq bo‘lishdi. NPMJS JavaScript muhiti Node.js uchun markaziy paket menejeri boʻlib, u dunyodagi eng katta dasturiy taʼminot ombori hisoblanadi. U davlat, xususiy va tijorat paketlarining keng arxiviga ega.
Sobiq xodimning akkauntiga kirib, tajovuzkorlar Ledger Connect Kit-ning zararlangan versiyasini tarqatishdi. Ushbu buzilgan versiya Ledger foydalanuvchilaridan pul mablag'larini tajovuzkorlarning hamyonlariga yo'naltirish uchun yolg'on WalletConnect loyihasidan foydalangan. Zararli kod taxminan besh soat davomida faol bo‘lgan, kriptovalyutani o‘g‘irlash ikki soat ichida sodir bo‘lgan. Kripto-tadqiqotchi ZachXBT yo'qotishni taxmin qilmoqda 600,000 XNUMX dollardan ortiq bo'lishi kerak. Ledger jabrlanuvchilarga mablag‘larini tiklashda yordam berishga va’da berdi va hujum Ledger Connect Kit yordamida uchinchi tomon ilovalari bilan cheklanganligini tasdiqladi.
Ledjerning ta'kidlashicha, sobiq xodim uchun zararli dasturiy ta'minot versiyalarini tarqatish odatda mumkin emas. Yangi versiyalar chiqarilishidan oldin bir nechta tomonlar tomonidan ko'rib chiqilishi kerak. Bundan tashqari, kompaniyani tark etgan xodimlar Ledger tizimlariga kirish huquqidan mahrum bo'lishlari kerak. Biroq, Ledjer ushbu protokollar nima uchun muvaffaqiyatsizlikka uchraganini tushuntirmadi va buni "yakkalangan hodisa" deb ta'rifladi. O'shandan beri ular Ledger Connect Kit-ning toza versiyasini chiqardilar va Ledger's GitHub orqali kodni tarqatish "sirlarini" yangiladilar.