Ledger 是一家加密货币钱包提供商, 已报告 对其用户造成重大损失。 犯罪分子通过对前雇员的网络钓鱼攻击分发了 Ledger Connect Kit 的恶意版本。 该套件是一个重要的 JavaScript 库,它将 Ledger 加密钱包链接到第三方应用程序,也称为钱包连接网站。
昨天,一名前 Ledger 员工成为网络钓鱼攻击的受害者,导致黑客获得了他的 NPMJS 帐户的访问权限。 NPMJS 是 JavaScript 环境 Node.js 的中央包管理器,号称是世界上最大的软件存储库。 它拥有大量公共、私人和商业包的档案。
攻击者访问了前员工的帐户后,传播了 Ledger Connect Kit 的受感染版本。 这个受损版本使用流氓 WalletConnect 项目将资金从 Ledger 用户转移到攻击者的钱包。 恶意代码活跃了大约五个小时,加密货币盗窃发生了两个多小时。 加密货币研究员 ZachXBT 估计了损失 超过 600,000 美元。 Ledger 致力于协助受害者追回资金,并确认此次攻击仅限于使用 Ledger Connect Kit 的第三方应用程序。
莱杰声称,前雇员通常不可能分发恶意软件版本。 新版本在发布之前应该经过多方审查。 此外,离开公司的员工应该无法访问 Ledger 系统。 然而,莱杰没有解释这些协议失败的原因,并将其描述为“孤立事件”。 此后,他们推出了 Ledger Connect Kit 的干净版本,并更新了通过 Ledger 的 GitHub 分发代码的“秘密”。