Уязвимость цепочки поставок криптовалютного кошелька Ledger привела к краже виртуальных активов на сумму 600 000 долларов США.

Атака цепочки поставок на производителя аппаратного криптокошелька Ledger привела к краже криптоактивов на сумму 600 000 долларов США. Злоумышленник получил учетную запись npm Ledger посредством фишинговой атаки на уволившегося сотрудника и загрузил вредоносную версию модуля Connect Kit. Эти вредоносные версии распространяют вредоносное ПО, кражущее криптовалюту, на другие приложения, использующие этот модуль, создавая уязвимости в цепочке поставок программного обеспечения.

Производители крипто-аппаратных кошельков Леджер В модуле npm «@ledgerhq/connect-kit» была выпущена новая версия, содержащая вредоносный код, что привело к краже виртуальных активов на сумму более 600 000 долларов США.

В заявлении компании говорится, что уязвимость возникла в результате фишинговой атаки уволившегося сотрудника, которая позволила злоумышленнику получить доступ к учетной записи npm Ledger и загрузить три вредоносные версии (1.1.5, 1.1.6 и 1.1.7). Эти вредоносные версии крадут криптовалютувредоносное программное обеспечениеРаспространяется на другие приложения, использующие этот модуль, вызывая уязвимости в цепочке поставок программного обеспечения.

В Ledger заявили: «Вредоносный код использовал поддельный проект WalletConnect для перевода средств нахакеркошелек. "

Connect Kit, как следует из названия, может подключать децентрализованные приложения (DApps) к аппаратному кошельку Ledger.

Охранная фирма Sonatype заявила, что в версию 1.1.7 напрямую встроена полезная нагрузка для кражи кошелька, которая используется для выполнения несанкционированных транзакций и передачи цифровых активов в кошельки, контролируемые злоумышленниками.

Версии 1.1.5 и 1.1.6, хотя и не имели встроенного похитителя криптовалюты, были модифицированы для загрузки вторичного пакета npm с именем 2e6d5f64604be31, который также действует как похититель криптовалюты. На момент публикации модуль все еще доступен для скачивания.

Уязвимость цепочки поставок криптовалютного кошелька Ledger привела к краже виртуальных активов на сумму 600 000 долларов США.

Исследователь Sonatype Илкка Турунен сказал: "После установки в ваше программное обеспечение вредоносное ПО отображает пользователю поддельное модальное приглашение, предлагающее подключить кошелек. Как только пользователь нажимает на модальное окно, вредоносное ПО начинает воровать средства из подключенного кошелька". "

По оценкам, вредоносный файл работал около пяти часов, но окно активности, в течение которого фактически были украдены средства, составляло менее двух часов.

Ledger удалил все три вредоносные версии Connect Kit из npm и выпустил версию 1.1.8, чтобы устранить проблемы. Компания также сообщила адрес кошелька злоумышленника и отметила, что эмитент стейблкоинов Tether заморозил украденные средства.

Этот инцидент подчеркивает продолжающиеся атаки на экосистему с открытым исходным кодом, при этом реестры программного обеспечения, такие как PyPI и npm, все чаще используются для установки вредоносного ПО посредством атак на цепочку поставок.

Турунен отметила: «Этот инцидент был конкретно нацелен на криптовалютные активы и демонстрирует развивающиеся стратегии, которые киберпреступники используют для получения больших финансовых выгод в течение нескольких часов, напрямую монетизируя вредоносное ПО».

Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/атака-на-цепочку-поставок-криптокоше-2.

Нравиться (0)
Предыдущий 14 декабря 2023 г. пп10:04
Следующий 16 декабря 2023 г. пп12:30

связанное предложение