加密硬體錢包製造商 Ledger 在其「@ledgerhq/connect-kit」 npm 模組中發布了包含惡意程式碼的新版本,導致超過60 萬美元的虛擬資產被盜。
該公司在聲明中表示,此漏洞源自於一名離職員工遭遇網路釣魚攻擊,致使攻擊者得以存取Ledger 的npm 帳號並上傳了三個惡意版本(1.1.5、1.1.6 和1.1.7 )。這些惡意版本將加密貨幣竊取惡意軟體傳播到依賴該模組的其他應用程序,造成軟體供應鏈漏洞。
Ledger 表示:「惡意程式碼利用了一個虛假WalletConnect 專案將資金轉移到駭客錢包。 」
Connect Kit 如其名,可以將去中心化應用程式(DApp) 連接到Ledger 的硬體錢包。
安全公司Sonatype 表示,1.1.7 版本直接嵌入了一個竊取錢包的有效負載,用於執行未經授權的交易,並將數位資產轉移到攻擊者控制的錢包。
1.1.5 和1.1.6 版本雖然沒有嵌入式竊取器,但被修改為下載一個名為2e6d5f64604be31 的二級npm 包,該包也充當加密貨幣竊取器。截至發稿時,該模組仍可下載。
Sonatype 研究員Ilkka Turunen 表示:「一旦安裝到您的軟體中,惡意軟體會向用戶顯示一個虛假的模態提示,邀請他們連接錢包。一旦用戶點擊這個模態,惡意軟體就開始從連接的錢包中竊取資金。”
據估計,惡意檔案運行了大約五個小時,但實際竊取資金的活動窗口不到兩個小時。
Ledger 已從npm 中刪除了所有三個惡意的Connect Kit 版本,並發布了1.1.8 版本以緩解問題。該公司還報告了攻擊者的錢包地址,並指出穩定幣發行商Tether 已經凍結了被盜資金。
這次事件凸顯了開源生態系統持續受到攻擊,像PyPI 和npm 這樣的軟體註冊表越來越多地被用於透過供應鏈攻擊安裝惡意軟體。
Turunen 指出:“此次事件特別針對加密貨幣資產,表明網路犯罪分子正在採取不斷發展的策略,以便在數小時內實現巨額經濟收益,直接將惡意軟體變現。”
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/tw/crypto-wallet-supply-chain-attack-leads-to-asset-theft.html
