Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания Ledger, выпускающая одноимённые аппаратные криптокошельки, раскрыла информацию о компрометации своего NPM-репозитория, которая привела к внедрению вредоносного кода в JavaScript-библиотеку Ledger Connect Kit, применяемую для обеспечения доступа децентрализованных web-приложений к криптокошелькам. Злоумышленникам удалось выпустить фиктивные версии Connect Kit, в которые был встроен код, подставляющий обманные транзакции для перевода средств с криптокошелька жертвы.
Вредоносный код распространялся в версиях Connect Kit 1.1.5, 1.1.6 и 1.1.7, и был удалён в легитимном обновлении 1.1.8. Доступ к NPM-репозиторию был получен злоумышленниками в ходе фишинг-атаки, в результате которой удалось определить параметры учётной записи одного из бывших сотрудников Ledger. В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации, оставление прав доступа у уволенного сотрудника и использование сети доставки контента, не позволяющей привязаться к конкретной проверенной версии библиотеки (приложения всегда использовали самую свежую версию).
До выявления факта компрометации и удаления вредоносного кода подставной выпуск библиотеки был доступен для загрузки в течение 5 часов, но по оценке компании Ledger фактическое время проведения атаки по выводу средств было ограничено двухчасовым интервалом. Для перенаправления средств на кошелёк жертвы в атаке был задействован подставной проект в сервисе WalletConnect, который в настоящее время заблокирован. По данным незаыисимого исследователя ZachXBT за время атаки злоумышленникам
удалось украсть с криптокошельков жертв как минимум 610 тысяч долларов. По данным сервиса Revoke.cash потери пользователями различных сайтов, применявших Connect Kit, составили более 850 тысяч долларов.
Проблема затронула только пользователей сторонних децентрализованных web-приложений (DApps), использующих библиотеку Ledger Connect Kit, и не повлияла не целостность аппаратных кошельков Ledger и приложения Ledger Live. Для снижения вероятности совершения подобных атак через компрометацию разработчиков, учётные записи участников проекта Connect Kit в NPM были переведены в режим только чтения, а прямое размещение NPM-пакета отельными разработчиками запрещено. Также были обновлены все ключи для публикации в репозитории на GitHub.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://news.ycombinator.com/i...)
- OpenNews: В Ubuntu Snap Store выявлены вредоносные пакеты
- OpenNews: Нарушение обратной совместимости в популярном NPM-пакете привело к сбоям в различных проектах
- OpenNews: В Chrome Web Store выявлено 49 дополнений, перехватывающих ключи от криптокошельков
- OpenNews: Уязвимости в HSM-модулях, которые могут привести к атаке на ключи шифрования
- OpenNews: GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
Похожие новости:
- Злоумышленник захватил контроль над 4 проектами в репозитории PyPI
- Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru
- Утечка закрытых ключей Intel, используемых для заверения прошивок MSI
- Взлом форума проекта Kodi
- Фишинг-атака на сотрудников Reddit привела к утечке исходных текстов платформы
- Выявлена подстановка вредоносной зависимости в ночные сборки PyTorch
- Утечка резервных копий с данными пользователей LastPass
- Избавление ядра Linux от кода, меняющего поведение для процессов, начинающихся на символ X
- В NPM включена обязательная двухфакторная аутентификация для сопровождающих значимых пакетов
- Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев
Теги для поиска: #_ledger, #_npm, #_hack
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 15:53
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Компания Ledger, выпускающая одноимённые аппаратные криптокошельки, раскрыла информацию о компрометации своего NPM-репозитория, которая привела к внедрению вредоносного кода в JavaScript-библиотеку Ledger Connect Kit, применяемую для обеспечения доступа децентрализованных web-приложений к криптокошелькам. Злоумышленникам удалось выпустить фиктивные версии Connect Kit, в которые был встроен код, подставляющий обманные транзакции для перевода средств с криптокошелька жертвы. Вредоносный код распространялся в версиях Connect Kit 1.1.5, 1.1.6 и 1.1.7, и был удалён в легитимном обновлении 1.1.8. Доступ к NPM-репозиторию был получен злоумышленниками в ходе фишинг-атаки, в результате которой удалось определить параметры учётной записи одного из бывших сотрудников Ledger. В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации, оставление прав доступа у уволенного сотрудника и использование сети доставки контента, не позволяющей привязаться к конкретной проверенной версии библиотеки (приложения всегда использовали самую свежую версию). До выявления факта компрометации и удаления вредоносного кода подставной выпуск библиотеки был доступен для загрузки в течение 5 часов, но по оценке компании Ledger фактическое время проведения атаки по выводу средств было ограничено двухчасовым интервалом. Для перенаправления средств на кошелёк жертвы в атаке был задействован подставной проект в сервисе WalletConnect, который в настоящее время заблокирован. По данным незаыисимого исследователя ZachXBT за время атаки злоумышленникам удалось украсть с криптокошельков жертв как минимум 610 тысяч долларов. По данным сервиса Revoke.cash потери пользователями различных сайтов, применявших Connect Kit, составили более 850 тысяч долларов. Проблема затронула только пользователей сторонних децентрализованных web-приложений (DApps), использующих библиотеку Ledger Connect Kit, и не повлияла не целостность аппаратных кошельков Ledger и приложения Ledger Live. Для снижения вероятности совершения подобных атак через компрометацию разработчиков, учётные записи участников проекта Connect Kit в NPM были переведены в режим только чтения, а прямое размещение NPM-пакета отельными разработчиками запрещено. Также были обновлены все ключи для публикации в репозитории на GitHub. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 15:53
Часовой пояс: UTC + 5