Menu dostępności

Włamanie i kradzież z portfela do kryptowalut „Ledger”

Włamanie i kradzież z portfela do kryptowalut „Ledger”

Producent najpopularniejszych portfeli sprzętowych do kryptowalut o nazwie Ledger padł ofiarą oszustwa i ataku na łańcuch dostaw. Wszystko za sprawą publikacji nowej wersji modułu npm „@ledgerhq/connect-kit”. Niedługo po niej niezidentyfikowani cyberprzestępcy przesłali złośliwy kod, który doprowadził do kradzieży wirtualnych zasobów o wartości ponad 600 000 dolarów.

Jak podała firma w oświadczeniu, kompromitacja była wynikiem tego, że były pracownik padł ofiarą ataku phishingowego. Umożliwiło to atakującym uzyskanie dostępu do konta npm Ledgera i przesłanie trzech złośliwych wersji modułu – 1.1.5, 1.1.6 i 1.1.7 – a także rozprzestrzenienie złośliwego oprogramowania wysysania kryptowalut do innych aplikacji zależnych od modułu, w wyniku czego naruszono łańcuch dostaw oprogramowania.

Connect Kit, jak sama nazwa wskazuje, umożliwia podłączenie DApps (krótkich zdecentralizowanych aplikacji) do portfeli sprzętowych Ledgera.

Według firmy zajmującej się bezpieczeństwem Sonatype w wersji 1.1.7 bezpośrednio wbudowano ładunek opróżniający portfel. Wykonywał on serię nieautoryzowanych transakcji w celu przeniesienia zasobów cyfrowych do portfela kontrolowanego przez hakera.

Wersje 1.1.5 i 1.1.6, choć pozbawione wbudowanego modułu drenażowego, zostały zmodyfikowane w celu pobrania dodatkowego pakietu npm, zidentyfikowanego jako 2e6d5f64604be31, który działał już jako moduł kradzieżowy.

Jeden z portfeli sprzętowych firmy Ledger; źródło: ledger.com

„Po zainstalowaniu malware wyświetla użytkownikom fałszywy monit, który zaprasza ich do połączenia ze swoim sprzętowym portfelem” – informowała Ilkka Turunen, badaczka Sonatype. „Gdy użytkownicy klikną na ten moduł, złośliwe oprogramowanie zaczyna pobierać środki z podłączonych portfeli”.

Szacuje się, że szkodliwy plik był aktywny przez około pięć godzin, chociaż okno aktywnej eksploatacji, podczas którego wysysano środki, było ograniczone do niecałych dwóch godzin.

Revoke.cash, jedna z firm dotkniętych tym incydentem, stwierdziła, że Ledger nie posiada zabezpieczeń wykorzystujących uwierzytelnianie dwuskładnikowe (2FA) w swoich systemach wdrożeniowych, co umożliwia osobie atakującej wykorzystanie zhakowanego konta programisty w celu opublikowania złośliwej wersji oprogramowania.

Od tego czasu Ledger usunął wszystkie trzy złośliwe wersje Connect Kit z npm i opublikował legitną wersję 1.1.8. Poinformował również o adresach portfeli ugrupowania zagrażającego i zauważył, że emitent stable coinów Tether zamroził skradzione środki.

Ten incydent jasno pokazuje ciągłe ukierunkowanie atakujących na ekosystemy typu open source, przy czym rejestry oprogramowania, takie jak PyPI i npm, coraz częściej wykorzystywane są jako wektory instalowania złośliwego oprogramowania poprzez ataki na łańcuch dostaw.

Dodatkowo firma Ledger i jej portfele sprzętowe uznawane są w kręgach sympatyków kryptowalut za najbezpieczniejsze miejsce na trzymanie swoich wirtualnych pieniędzy. Jak widać, trzeba być ostrożnym na każdym kroku, a liczba integracji z zewnętrznymi aplikacjami tylko zwiększa powierzchnię ataku.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...