Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений

Компания Ledger, выпускающая одноимённые аппаратные криптокошельки, раскрыла информацию о компрометации своего NPM-репозитория, которая привела к внедрению вредоносного кода в JavaScript-библиотеку Ledger Connect Kit, применяемую для обеспечения доступа децентрализованных web-приложений к криптокошелькам. Злоумышленникам удалось выпустить фиктивные версии Connect Kit, в которые был встроен код, подставляющий обманные транзакции для перевода средств с криптокошелька жертвы.

Вредоносный код распространялся в версиях Connect Kit 1.1.5, 1.1.6 и 1.1.7, и был удалён в легитимном обновлении 1.1.8. Доступ к NPM-репозиторию был получен злоумышленниками в ходе фишинг-атаки, в результате которой удалось определить параметры учётной записи одного из бывших сотрудников Ledger. В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации, оставление прав доступа у уволенного сотрудника и использование сети доставки контента, не позволяющей привязаться к конкретной проверенной версии библиотеки (приложения всегда использовали самую свежую версию).

До выявления факта компрометации и удаления вредоносного кода подставной выпуск библиотеки был доступен для загрузки в течение 5 часов, но по оценке компании Ledger фактическое время проведения атаки по выводу средств было ограничено двухчасовым интервалом. Для перенаправления средств на кошелёк жертвы в атаке был задействован подставной проект в сервисе WalletConnect, который в настоящее время заблокирован. По данным незаыисимого исследователя ZachXBT за время атаки злоумышленникам
удалось украсть с криптокошельков жертв как минимум 610 тысяч долларов. По данным сервиса Revoke.cash потери пользователями различных сайтов, применявших Connect Kit, составили более 850 тысяч долларов.

Проблема затронула только пользователей сторонних децентрализованных web-приложений (DApps), использующих библиотеку Ledger Connect Kit, и не повлияла не целостность аппаратных кошельков Ledger и приложения Ledger Live. Для снижения вероятности совершения подобных атак через компрометацию разработчиков, учётные записи участников проекта Connect Kit в NPM были переведены в режим только чтения, а прямое размещение NPM-пакета отельными разработчиками запрещено. Также были обновлены все ключи для публикации в репозитории на GitHub.

Источник: http://www.opennet.ru/opennews/art.shtml?num=60294