据报道,威胁行为者通过加密硬件钱包制造商Ledger开发的“@ledgerhq/connect-kit” npm模块的恶意版本,导致逾60万美元的虚拟资产被盗。一旦发现这次攻击,Ledger立即发布了其npm模块的新版本(1.1.8版本)。恶意的npm模块(2e6d5f64604be31)已被从存储库中删除。威胁行为者对一位前员工发起了钓鱼攻击,获取了他的凭据和对Ledger的NPMJS账户的访问权限。
Ledger主席兼首席执行官Pascal Gauthier在一封信中写道:“今天,我们在Ledger Connect Kit中发现了一个漏洞,这是一个实现了按钮功能的JavaScript库,允许用户将他们的Ledger设备连接到第三方DApps(连接钱包的网站)。
这个漏洞是由于一位前员工成为钓鱼攻击的受害者,导致恶意文件被上传到Ledger的NPMJS(一个用于在应用程序之间共享JavaScript代码的软件包管理器)。我们与合作伙伴WalletConnect一起迅速采取行动,删除和停用恶意代码,发现后的40分钟内完成了这一过程。这是行业快速共同应对安全挑战的一个好例子。”最初的观察表明,该账户可能没有启用多因素身份验证(MFA)。然后,威胁行为者上传了三个带有加密资产枯竭恶意软件的模块版本(1.1.5、1.1.6和1.1.7)。由于这次供应链攻击,依赖于被感染模块的每个应用程序都受到了损害。恶意代码使用一个恶意的WalletConnect项目来劫持资金并将其转移到攻击者控制的钱包。Ledger的安全团队接到警报后,在40分钟内解决了这个问题。
报告继续说:“今天上午CET时间,一位前Ledger员工成为钓鱼攻击的受害者,攻击者获得了他们的NPMJS账户的访问权限。攻击者发布了Ledger Connect Kit的恶意版本(影响1.1.5、1.1.6和1.1.7版本)。恶意代码使用一个恶意的WalletConnect项目将资金重定向到黑客的钱包。Ledger的技术和安全团队接到警报后,40分钟内部署了修复措施。”恶意模块的恶意版本在线上存在了大约5个小时。Ledger在WalletConnect的帮助下迅速停用了这个恶意项目。Ledger、WalletConnect及其合作伙伴确定了攻击者的钱包地址(0x658729879fca881d9526480b82ae00efc54b5c2d),而Tether则冻结了他们的资金。
评论