暗号化ハードウェアウォレットのメーカー 元帳 その「@ledgerhq/connect-kit」npmモジュールに悪意のあるコードを含む新しいバージョンがリリースされ、その結果、60万ドル以上の仮想資産が盗難されました。
同社は声明で、この脆弱性は退職した従業員によるフィッシング攻撃に起因し、攻撃者はLedgerのnpmアカウントにアクセスして3つの悪意のあるバージョン(1.1.5、1.1.6、1.1.7)をアップロードできると述べた。これらの悪意のあるバージョンは暗号通貨を盗みます悪意のあるソフトウェアこのモジュールに依存する他のアプリケーションに広がり、ソフトウェア サプライ チェーンの脆弱性を引き起こします。
レジャー氏は「悪意のあるコードは偽のWalletConnectプロジェクトを悪用して資金を送金した」と述べた。ハッカー財布。 」
Connect Kit は、その名前が示すように、分散型アプリケーション (DApps) を Ledger のハードウェア ウォレットに接続できます。
セキュリティ企業の Sonatype によると、バージョン 1.1.7 には、不正な取引を実行し、攻撃者が管理するウォレットにデジタル資産を転送するために使用される、ウォレットを盗むペイロードが直接埋め込まれています。
バージョン 1.1.5 と 1.1.6 にはスティーラーが組み込まれていませんが、2e6d5f64604be31 という名前のセカンダリ npm パッケージをダウンロードするように変更されました。これは暗号通貨スティーラーとしても機能します。本稿執筆時点では、このモジュールはまだダウンロードできます。
Sonatype 研究者の Ilkka Turunen 氏は、「ソフトウェアにマルウェアがインストールされると、ユーザーに偽のモーダル プロンプトを表示し、ウォレットに接続するよう誘います。ユーザーがモーダルをクリックすると、マルウェアは接続されているウォレットから資金を盗み始めます。」と述べています。 」
悪意のあるファイルは約 5 時間実行されたと推定されていますが、実際に資金が盗まれた活動期間は 2 時間未満でした。
Ledger は、悪意のある Connect Kit の 3 つのバージョンをすべて npm から削除し、問題を軽減するためにバージョン 1.1.8 をリリースしました。同社はまた、攻撃者のウォレットアドレスを報告し、ステーブルコイン発行会社テザーが盗まれた資金を凍結したことを指摘した。
この事件は、サプライ チェーン攻撃を通じてマルウェアをインストールするために PyPI や npm などのソフトウェア レジストリがますます使用されており、オープンソース エコシステムに対する継続的な攻撃を浮き彫りにしています。
トゥルネン氏は、「この事件は特に暗号通貨資産を標的にしており、サイバー犯罪者がマルウェアを直接収益化して数時間以内に大きな金銭的利益を得るために採用している進化する戦略を示している」と述べた。
元記事、著者:最高セキュリティ責任者、転載する場合は出典を明記してください: https://cncso.com/jp/crypto-wallet-supply-chain-attach-leads-to-asset-theft.html