Ledger, firma produkująca sprzętowe portfele kryptowalutowe o tej samej nazwie, ujawniła informacje o włamaniu do swojego repozytorium NPM, które doprowadziło do wprowadzenia złośliwego kodu do biblioteki JavaScript Ledger Connect Kit, służącej do zapewniania dostępu do portfeli kryptowalutowych w zdecentralizowanych aplikacjach internetowych. Atakującym udało się udostępnić fałszywe wersje Connect Kit, które zawierały osadzony kod podmieniający fałszywe transakcje w celu transferu środków z portfela kryptowalutowego ofiary.
Złośliwy kod był dystrybuowany w wersjach Connect Kit 1.1.5, 1.1.6 i 1.1.7, a następnie został usunięty w legalnej aktualizacji 1.1.8. Atakujący uzyskali dostęp do repozytorium NPM poprzez atak phishingowy, który doprowadził do ujawnienia danych konta jednego z byłych pracowników Ledger. Wśród przyczyn sukcesu ataku wymienia się możliwość publikowania wersji bez uwierzytelniania dwuskładnikowego, co pozostawia prawa dostępu zwolnionemu pracownikowi, oraz wykorzystanie sieci dostarczania treści (CDS), która uniemożliwia powiązanie z konkretną, zweryfikowaną wersją biblioteki (aplikacje zawsze korzystały z najnowszej wersji).
Zanim wykryto fakt włamania i usunięto złośliwy kod, fałszywa wersja biblioteki była dostępna do pobrania przez 5 godzin, ale według Ledgera rzeczywisty czas ataku na wypłatę środków został ograniczony do dwóch godzin. Aby przekierować środki do portfela ofiary, atak wykorzystał fałszywy projekt w usłudze WalletConnect, która jest obecnie zablokowana. Według niezależnego badacza ZachXBT, podczas ataku atakującym udało się ukraść co najmniej 610 tysięcy dolarów z portfeli kryptowalutowych ofiar. Według serwisu Revoke.cash straty użytkowników różnych stron korzystających z Connect Kit wyniosły ponad 850 tysięcy dolarów.
Problem dotyczył wyłącznie użytkowników zdecentralizowanych aplikacji internetowych (DApps) innych firm korzystających z biblioteki Ledger Connect Kit i nie wpłynął na integralność portfeli sprzętowych Ledger ani aplikacji Ledger Live. Aby zmniejszyć prawdopodobieństwo podobnych ataków poprzez przejęcie kontroli nad programistami, konta NPM uczestników projektu Connect Kit zostały przełączone w tryb tylko do odczytu, a bezpośrednie wdrażanie pakietu NPM przez poszczególnych programistów jest zabronione. Zaktualizowano również wszystkie klucze publikacji w repozytorium GitHub.
Źródło: opennet.ru
