Ledger, nhà cung cấp ví tiền điện tử, đã báo cáo một sự mất mát đáng kể cho người sử dụng nó. Tội phạm đã phát tán phiên bản độc hại của Ledger Connect Kit thông qua một cuộc tấn công lừa đảo nhằm vào một nhân viên cũ. Bộ công cụ này là một thư viện JavaScript quan trọng giúp liên kết ví tiền điện tử Ledger với các ứng dụng của bên thứ ba, còn được gọi là các trang web được kết nối với ví.
Hôm qua, một cựu nhân viên của Ledger đã trở thành nạn nhân của một cuộc tấn công lừa đảo, khiến tin tặc giành được quyền truy cập vào tài khoản NPMJS của anh ta. NPMJS là trình quản lý gói trung tâm cho môi trường JavaScript Node.js, tự xưng là kho lưu trữ phần mềm lớn nhất thế giới. Nó lưu trữ một kho lưu trữ khổng lồ các gói công cộng, tư nhân và thương mại.
Sau khi truy cập vào tài khoản của nhân viên cũ, những kẻ tấn công đã phát tán một phiên bản bị nhiễm độc của Ledger Connect Kit. Phiên bản bị xâm nhập này đã sử dụng dự án WalletConnect lừa đảo để chuyển tiền từ người dùng Ledger sang ví của kẻ tấn công. Mã độc đã hoạt động trong khoảng năm giờ, với hành vi trộm cắp tiền điện tử xảy ra trong hơn hai giờ. Nhà nghiên cứu tiền điện tử ZachXBT ước tính tổn thất phải trên 600,000 USD. Ledger đã cam kết hỗ trợ các nạn nhân lấy lại tiền của họ và xác nhận rằng cuộc tấn công chỉ giới hạn ở các ứng dụng của bên thứ ba sử dụng Ledger Connect Kit.
Ledger tuyên bố rằng nhân viên cũ thường không thể phân phối các phiên bản phần mềm độc hại. Các phiên bản mới được cho là sẽ được nhiều bên xem xét trước khi phát hành. Ngoài ra, nhân viên rời công ty sẽ mất quyền truy cập vào hệ thống Sổ cái. Tuy nhiên, Ledger vẫn chưa giải thích lý do tại sao các giao thức này không thành công, mô tả đây là một “sự cố riêng lẻ”. Kể từ đó, họ đã tung ra phiên bản sạch của Ledger Connect Kit và cập nhật ‘bí mật’ để phân phối mã thông qua GitHub của Ledger.