加密硬件钱包制造商 Ledger 在其 “@ledgerhq/connect-kit” npm 模块中发布了包含恶意代码的新版本,导致超过 60 万美元的虚拟资产被盗。
公司在一份声明中表示,此次漏洞源于一名离职员工遭遇网络钓鱼攻击,致使攻击者得以访问 Ledger 的 npm 账号并上传了三个恶意版本 (1.1.5、1.1.6 和 1.1.7)。这些恶意版本将加密货币窃取恶意软件传播到依赖该模块的其他应用程序,造成软件供应链漏洞。
Ledger 表示:“恶意代码利用了一个虚假 WalletConnect 项目将资金转移到黑客钱包。”
Connect Kit 正如其名,可以将去中心化应用程序 (DApp) 连接到 Ledger 的硬件钱包。
安全公司 Sonatype 表示,1.1.7 版本直接嵌入了一个窃取钱包的有效负载,用于执行未经授权的交易,并将数字资产转移到攻击者控制的钱包。
1.1.5 和 1.1.6 版本虽然没有嵌入式窃取器,但被修改为下载一个名为 2e6d5f64604be31 的二级 npm 包,该包也充当加密货币窃取器。截至发稿时,该模块仍可下载。
Sonatype 研究员 Ilkka Turunen 表示:“一旦安装到您的软件中,恶意软件会向用户显示一个虚假的模态提示,邀请他们连接钱包。一旦用户点击这个模态,恶意软件就开始从连接的钱包中窃取资金。”
据估计,恶意文件运行了大约五个小时,但实际窃取资金的活动窗口不到两个小时。
Ledger 已从 npm 中删除了所有三个恶意的 Connect Kit 版本,并发布了 1.1.8 版本以缓解问题。公司还报告了攻击者的钱包地址,并指出稳定币发行商 Tether 已经冻结了被盗资金。
此次事件凸显了开源生态系统持续受到攻击,像 PyPI 和 npm 这样的软件注册表越来越多地被用于通过供应链攻击安装恶意软件。
Turunen 指出:“此次事件特别针对加密货币资产,表明网络犯罪分子正在采取不断发展的策略,以便在数小时内实现巨额经济收益,直接将恶意软件变现。”
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/crypto-wallet-supply-chain-attack-leads-to-asset-theft.html
