Ang Ledger, ang kompanya nga naggama og mga hardware crypto wallet nga parehas og ngalan, nagbutyag sa usa ka kompromiso sa ilang NPM repository nga misangpot sa pagsulod sa malisyosong code sa Ledger Connect Kit JavaScript library, nga gigamit sa paghatag og access sa mga crypto wallet sa mga desentralisadong web application. Nakahimo ang mga tig-atake sa pagpagawas og peke nga mga bersyon sa Connect Kit, nga adunay code nga magpadala og mga peke nga transaksyon aron ibalhin ang mga pundo gikan sa crypto wallet sa biktima.
Ang malisyosong code giapod-apod sa Connect Kit nga mga bersyon 1.1.5, 1.1.6, ug 1.1.7, ug gitangtang sa lehitimong 1.1.8 nga update. Ang mga tig-atake nakakuha og access sa NPM repository pinaagi sa usa ka phishing attack, nga miresulta sa pagtino sa mga kredensyal sa account sa usa ka kanhing empleyado sa Ledger. Ang mga hinungdan nga gihisgutan sa kalampusan sa pag-atake naglakip sa abilidad sa pagmantala sa mga release nga walay two-factor authentication, ang pagpabilin sa mga katungod sa pag-access sa gitangtang nga empleyado, ug ang paggamit sa usa ka content delivery network nga nagpugong sa pag-lock sa usa ka piho, napamatud-an nga bersyon sa librarya (ang mga aplikasyon kanunay nga naggamit sa pinakabag-o nga bersyon).
Sa wala pa madiskobrehi ang kompromiso ug matangtang ang malisyosong code, ang peke nga library release anaa na alang sa pag-download sulod sa lima ka oras, apan gibanabana sa Ledger nga ang aktuwal nga oras sa pag-withdraw limitado sa duha ka oras. Aron ma-redirect ang mga pondo ngadto sa wallet sa biktima, ang pag-atake migamit og peke nga proyekto sa serbisyo sa WalletConnect, nga kasamtangang gibabagan. Sumala sa independenteng tigdukiduki nga si ZachXBT, ang mga tig-atake nakawat og labing menos $610,000 gikan sa mga crypto wallet sa mga biktima atol sa pag-atake. Sumala sa Revoke.cash, ang mga tiggamit sa lain-laing mga website nga migamit sa Connect Kit nawad-an og kapin sa $850,000.
Ang isyu nakaapekto lamang sa mga tiggamit sa mga third-party decentralized web applications (DApps) nga naggamit sa Ledger Connect Kit library ug wala makaapekto sa integridad sa Ledger hardware wallets o sa Ledger Live app. Aron makunhuran ang posibilidad sa susamang mga pag-atake pinaagi sa developer compromise, ang mga NPM account sa mga partisipante sa proyekto sa Connect Kit gibalhin ngadto sa read-only mode, ug gidili ang direktang pag-deploy sa NPM package sa indibidwal nga mga developer. Ang tanan nga mga publishing key sa GitHub repository gi-update usab.
Source: opennet.ru
