Ledger 是加密貨幣錢包提供商, 據報導 對其用戶造成重大損失。犯罪分子透過對前員工的網路釣魚攻擊分發了 Ledger Connect Kit 的惡意版本。該套件是一個重要的 JavaScript 庫,它將 Ledger 加密錢包連結到第三方應用程序,也稱為錢包連接網站。
昨天,一名前 Ledger 員工成為網路釣魚攻擊的受害者,導致駭客獲得了他的 NPMJS 帳戶的存取權限。 NPMJS 是 JavaScript 環境 Node.js 的中央套件管理器,號稱是世界上最大的軟體儲存庫。它擁有大量公共、私人和商業包的檔案。
攻擊者造訪了前員工的帳號後,傳播了 Ledger Connect Kit 的受感染版本。這個受損版本使用流氓 WalletConnect 專案將資金從 Ledger 用戶轉移到攻擊者的錢包。惡意程式碼活躍了大約五個小時,加密貨幣盜竊發生了兩個多小時。 加密貨幣研究員 ZachXBT 估計了損失 超過 600,000 萬美元。 Ledger 致力於協助受害者追回資金,並確認此攻擊僅限於使用 Ledger Connect Kit 的第三方應用程式。
萊傑聲稱,前僱員通常不可能分發惡意軟體版本。新版本在發布之前應該經過多方審查。此外,離開公司的員工應該無法存取 Ledger 系統。然而,萊傑並沒有解釋這些協議失敗的原因,並將其描述為「孤立事件」。此後,他們推出了 Ledger Connect Kit 的乾淨版本,並更新了透過 Ledger 的 GitHub 分發程式碼的「秘密」。