Kripto donanım cüzdanı üreticisi Ledger, kimliği belirsiz tehdit aktörlerinin kripto paraların çalınmasına yol açan kötü amaçlı kod göndermesinin ardından “@ledgerhq/connect-kit” npm modülünün yeni bir sürümünü yayınladı. 600.000 dolardan fazla sanal varlıklarda.
Şirket yaptığı açıklamada, uzlaşmanın eski bir çalışanın bir kimlik avı saldırısının kurbanı olmasının sonucu olduğunu söyledi.
Bu, saldırganların Ledger’in npm hesabına erişmesine ve modülün üç kötü amaçlı sürümünü (1.1.5, 1.1.6 ve 1.1.7) yüklemesine ve yaymasına olanak tanıdı. kripto süzücü kötü amaçlı yazılım modüle bağımlı olan diğer uygulamalara bulaşır ve bu da yazılım tedarik zinciri ihlaline neden olur.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
Ledger, “Kötü amaçlı kod, fonları hacker cüzdanına yönlendirmek için hileli bir WalletConnect projesi kullandı” dedi.
Connect Kit, adından da anlaşılacağı gibi DApp’leri (kısa merkezi olmayan uygulamalar) Ledger’in donanım cüzdanlarına bağlamayı mümkün kılar.
Güvenlik firması Sonatype’e göre, sürüm 1.1.7, dijital varlıkları aktör kontrollü bir cüzdana aktarmak amacıyla yetkisiz işlemleri yürütmek için doğrudan cüzdan tüketen bir veriyi yerleştirdi.
1.1.5 ve 1.1.6 sürümleri, yerleşik bir süzgeçten yoksun olmasına rağmen, bir kripto süzgeç görevi gören, 2e6d5f64604be31 olarak tanımlanan ikincil bir npm paketini indirecek şekilde değiştirildi. Modül yazının yazıldığı an itibarıyla hâlâ indirilmeye hazırdır.
Sonatype araştırmacısı Ilkka Turunen, “Yazılımınıza yüklendikten sonra kötü amaçlı yazılım, kullanıcıları cüzdanlara bağlanmaya davet eden sahte bir modal istem sunuyor.” dedi. “Kullanıcılar bu modal tıkladığında, kötü amaçlı yazılım bağlı cüzdanlardan para çekmeye başlıyor.”
Kötü amaçlı dosyanın yaklaşık beş saat boyunca yayında olduğu tahmin ediliyor, ancak fonların boşaltıldığı aktif istismar penceresi iki saatten daha kısa bir süre ile sınırlıydı.
Ledger o zamandan beri Connect Kit’in üç kötü amaçlı sürümünü de npm’den kaldırdı ve sorunu hafifletmek için 1.1.8’i yayınladı. Ayrıca tehdit aktörünün cüzdan adreslerini de bildirdi ve stablecoin ihraççısı Tether’in çalınan fonları dondurduğunu kaydetti.
Aksine, bu gelişme, PyPI ve npm gibi yazılım kayıtlarının, tedarik zinciri saldırıları yoluyla kötü amaçlı yazılım yüklemek için vektörler olarak giderek daha fazla kullanılmasıyla, açık kaynaklı ekosistemlerin sürekli hedeflenmesinin altını çiziyor.
Turunen, “Kripto para varlıklarının özel olarak hedeflenmesi, siber suçluların kötü amaçlı yazılımlarından doğrudan para kazanarak saatler içinde önemli mali kazançlar elde etmek için gelişen taktiklerini gösteriyor.” dedi.