Производители крипто-аппаратных кошельков Леджер В модуле npm «@ledgerhq/connect-kit» была выпущена новая версия, содержащая вредоносный код, что привело к краже виртуальных активов на сумму более 600 000 долларов США.
В заявлении компании говорится, что уязвимость возникла в результате фишинговой атаки уволившегося сотрудника, которая позволила злоумышленнику получить доступ к учетной записи npm Ledger и загрузить три вредоносные версии (1.1.5, 1.1.6 и 1.1.7). Эти вредоносные версии крадут криптовалютувредоносное программное обеспечениеРаспространяется на другие приложения, использующие этот модуль, вызывая уязвимости в цепочке поставок программного обеспечения.
В Ledger заявили: «Вредоносный код использовал поддельный проект WalletConnect для перевода средств нахакеркошелек. "
Connect Kit, как следует из названия, может подключать децентрализованные приложения (DApps) к аппаратному кошельку Ledger.
Охранная фирма Sonatype заявила, что в версию 1.1.7 напрямую встроена полезная нагрузка для кражи кошелька, которая используется для выполнения несанкционированных транзакций и передачи цифровых активов в кошельки, контролируемые злоумышленниками.
Версии 1.1.5 и 1.1.6, хотя и не имели встроенного похитителя криптовалюты, были модифицированы для загрузки вторичного пакета npm с именем 2e6d5f64604be31, который также действует как похититель криптовалюты. На момент публикации модуль все еще доступен для скачивания.
Исследователь Sonatype Илкка Турунен сказал: "После установки в ваше программное обеспечение вредоносное ПО отображает пользователю поддельное модальное приглашение, предлагающее подключить кошелек. Как только пользователь нажимает на модальное окно, вредоносное ПО начинает воровать средства из подключенного кошелька". "
По оценкам, вредоносный файл работал около пяти часов, но окно активности, в течение которого фактически были украдены средства, составляло менее двух часов.
Ledger удалил все три вредоносные версии Connect Kit из npm и выпустил версию 1.1.8, чтобы устранить проблемы. Компания также сообщила адрес кошелька злоумышленника и отметила, что эмитент стейблкоинов Tether заморозил украденные средства.
Этот инцидент подчеркивает продолжающиеся атаки на экосистему с открытым исходным кодом, при этом реестры программного обеспечения, такие как PyPI и npm, все чаще используются для установки вредоносного ПО посредством атак на цепочку поставок.
Турунен отметила: «Этот инцидент был конкретно нацелен на криптовалютные активы и демонстрирует развивающиеся стратегии, которые киберпреступники используют для получения больших финансовых выгод в течение нескольких часов, напрямую монетизируя вредоносное ПО».
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/атака-на-цепочку-поставок-криптокоше-2.