| Компания Ledger, выпускающая одноимённые аппаратные криптокошельки, раскрыла информацию о компрометации своего NPM-репозитория, которая привела к внедрению вредоносного кода в JavaScript-библиотеку Ledger Connect Kit, применяемую для обеспечения доступа децентрализованных web-приложений к криптокошелькам. Злоумышленникам удалось выпустить фиктивные версии Connect Kit, в которые был встроен код, подставляющий обманные транзакции для перевода средств с криптокошелька жертвы. Вредоносный код распространялся в версиях Connect Kit 1.1.5, 1.1.6 и 1.1.7, и был удалён в легитимном обновлении 1.1.8. Доступ к NPM-репозиторию был получен злоумышленниками в ходе фишинг-атаки, в результате которой удалось определить параметры учётной записи одного из бывших сотрудников Ledger. В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации, оставление прав доступа у уволенного сотрудника и использование сети доставки контента, не позволяющей привязаться к конкретной проверенной версии библиотеки (приложения всегда использовали самую свежую версию). До выявления факта компрометации и удаления вредоносного кода подставной выпуск библиотеки был доступен для загрузки в течение 5 часов, но по оценке компании Ledger фактическое время проведения атаки по выводу средств было ограничено двухчасовым интервалом. Для перенаправления средств на кошелёк жертвы в атаке был задействован подставной проект в сервисе WalletConnect, который в настоящее время заблокирован. По данным независимого исследователя ZachXBT за время атаки злоумышленникам удалось украсть с криптокошельков жертв как минимум 610 тысяч долларов. По данным сервиса Revoke.cash потери пользователями различных сайтов, применявших Connect Kit, составили более 850 тысяч долларов. Проблема затронула только пользователей сторонних децентрализованных web-приложений (DApps), использующих библиотеку Ledger Connect Kit, и не повлияла не целостность аппаратных кошельков Ledger и приложения Ledger Live. Для снижения вероятности совершения подобных атак через компрометацию разработчиков, учётные записи участников проекта Connect Kit в NPM были переведены в режим только чтения, а прямое размещение NPM-пакета обычными разработчиками запрещено. Также были обновлены все ключи для публикации в репозитории на GitHub. |