Hersteller von Krypto-Hardware-Wallets Hauptbuch Eine neue Version mit bösartigem Code wurde in seinem npm-Modul "@ledgerhq/connect-kit" veröffentlicht, was zum Diebstahl von über 600.000 US-Dollar an virtuellen Vermögenswerten führte.
In einer Erklärung sagte das Unternehmen, dass die Schwachstelle auf einen Phishing-Angriff auf einen ausscheidenden Mitarbeiter zurückzuführen ist, der es dem Angreifer ermöglichte, auf das npm-Konto von Ledger zuzugreifen und drei bösartige Versionen (1.1.5, 1.1.6 und 1.1.7) hochzuladen. Diese bösartigen Versionen stahlen die KryptowährungMalwaresich auf andere Anwendungen ausbreiten, die auf das Modul angewiesen sind, wodurch eine Schwachstelle in der Software-Lieferkette entsteht.
Ledger sagt: "Der bösartige Code verwendete ein gefälschtes WalletConnect-Projekt, um Gelder an dieHacker (Informatik) (Lehnwort)Brieftasche."
Das Connect Kit, wie der Name schon sagt, verbindet dezentrale Anwendungen (DApps) mit der Hardware-Wallet von Ledger.
Nach Angaben des Sicherheitsunternehmens Sonatype enthält die Version 1.1.7 eine direkte Nutzlast zum Diebstahl von Geldbörsen, die dazu verwendet wird, nicht autorisierte Transaktionen durchzuführen und digitale Vermögenswerte auf eine vom Angreifer kontrollierte Geldbörse zu übertragen.
Die Versionen 1.1.5 und 1.1.6 haben zwar keinen eingebetteten Stealer, wurden aber so verändert, dass sie ein sekundäres npm-Paket namens 2e6d5f64604be31 herunterladen, das ebenfalls als Kryptowährungs-Stealer fungiert. Zum Zeitpunkt des Redaktionsschlusses ist das Modul immer noch zum Download verfügbar.
Der Sonatype-Forscher Ilkka Turunen sagte: "Sobald die Malware in Ihrer Software installiert ist, zeigt sie dem Benutzer eine gefälschte modale Eingabeaufforderung an, in der er aufgefordert wird, seine Brieftasche zu verbinden. Sobald der Benutzer auf dieses Modal klickt, beginnt die Malware mit dem Diebstahl von Geldern aus der verbundenen Geldbörse.
Es wird geschätzt, dass die bösartige Datei etwa fünf Stunden lang lief, aber das tatsächliche Zeitfenster für den Gelddiebstahl betrug weniger als zwei Stunden.
Ledger hat alle drei bösartigen Connect Kit-Versionen aus npm entfernt und Version 1.1.8 veröffentlicht, um das Problem zu entschärfen. Das Unternehmen meldete auch die Wallet-Adresse des Angreifers und stellte fest, dass der Stablecoin-Emittent Tether die gestohlenen Gelder eingefroren hat.
Der Vorfall wirft ein Schlaglicht auf die anhaltenden Angriffe auf das Open-Source-Ökosystem, bei denen Software-Registrierungsstellen wie PyPI und npm zunehmend zur Installation von Malware durch Angriffe über die Lieferkette genutzt werden.
Turunen merkte an: "Dieser Vorfall, der speziell auf Kryptowährungswerte abzielte, zeigt, dass Cyberkriminelle eine sich entwickelnde Strategie anwenden, um innerhalb weniger Stunden enorme finanzielle Gewinne zu erzielen, indem sie direkt mit Malware abkassieren."
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/crypto-wallet-supply-chain-attack-leads-to-asset-theft.html
