Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
16-Дек-2023 13:51

Компания Ledger, выпускающая одноимённые аппаратные криптокошельки, раскрыла информацию о компрометации своего NPM-репозитория, которая привела к внедрению вредоносного кода в JavaScript-библиотеку Ledger Connect Kit, применяемую для обеспечения доступа децентрализованных web-приложений к криптокошелькам. Злоумышленникам удалось выпустить фиктивные версии Connect Kit, в которые был встроен код, подставляющий обманные транзакции для перевода средств с криптокошелька жертвы.
Вредоносный код распространялся в версиях Connect Kit 1.1.5, 1.1.6 и 1.1.7, и был удалён в легитимном обновлении 1.1.8. Доступ к NPM-репозиторию был получен злоумышленниками в ходе фишинг-атаки, в результате которой удалось определить параметры учётной записи одного из бывших сотрудников Ledger. В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации, оставление прав доступа у уволенного сотрудника и использование сети доставки контента, не позволяющей привязаться к конкретной проверенной версии библиотеки (приложения всегда использовали самую свежую версию).
До выявления факта компрометации и удаления вредоносного кода подставной выпуск библиотеки был доступен для загрузки в течение 5 часов, но по оценке компании Ledger фактическое время проведения атаки по выводу средств было ограничено двухчасовым интервалом. Для перенаправления средств на кошелёк жертвы в атаке был задействован подставной проект в сервисе WalletConnect, который в настоящее время заблокирован. По данным незаыисимого исследователя ZachXBT за время атаки злоумышленникам
удалось украсть с криптокошельков жертв как минимум 610 тысяч долларов. По данным сервиса Revoke.cash потери пользователями различных сайтов, применявших Connect Kit, составили более 850 тысяч долларов.
Проблема затронула только пользователей сторонних децентрализованных web-приложений (DApps), использующих библиотеку Ledger Connect Kit, и не повлияла не целостность аппаратных кошельков Ledger и приложения Ledger Live. Для снижения вероятности совершения подобных атак через компрометацию разработчиков, учётные записи участников проекта Connect Kit в NPM были переведены в режим только чтения, а прямое размещение NPM-пакета отельными разработчиками запрещено. Также были обновлены все ключи для публикации в репозитории на GitHub.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_ledger, #_npm, #_hack
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 21-Ноя 14:47
Часовой пояс: UTC + 5