Producent najpopularniejszych portfeli sprzętowych do kryptowalut o nazwie Ledger padł ofiarą oszustwa i ataku na łańcuch dostaw. Wszystko za sprawą publikacji nowej wersji modułu npm „@ledgerhq/connect-kit”. Niedługo po niej niezidentyfikowani cyberprzestępcy przesłali złośliwy kod, który doprowadził do kradzieży wirtualnych zasobów o wartości ponad 600 000 dolarów.
Jak podała firma w oświadczeniu, kompromitacja była wynikiem tego, że były pracownik padł ofiarą ataku phishingowego. Umożliwiło to atakującym uzyskanie dostępu do konta npm Ledgera i przesłanie trzech złośliwych wersji modułu – 1.1.5, 1.1.6 i 1.1.7 – a także rozprzestrzenienie złośliwego oprogramowania wysysania kryptowalut do innych aplikacji zależnych od modułu, w wyniku czego naruszono łańcuch dostaw oprogramowania.
Connect Kit, jak sama nazwa wskazuje, umożliwia podłączenie DApps (krótkich zdecentralizowanych aplikacji) do portfeli sprzętowych Ledgera.
Według firmy zajmującej się bezpieczeństwem Sonatype w wersji 1.1.7 bezpośrednio wbudowano ładunek opróżniający portfel. Wykonywał on serię nieautoryzowanych transakcji w celu przeniesienia zasobów cyfrowych do portfela kontrolowanego przez hakera.
Wersje 1.1.5 i 1.1.6, choć pozbawione wbudowanego modułu drenażowego, zostały zmodyfikowane w celu pobrania dodatkowego pakietu npm, zidentyfikowanego jako 2e6d5f64604be31, który działał już jako moduł kradzieżowy.
„Po zainstalowaniu malware wyświetla użytkownikom fałszywy monit, który zaprasza ich do połączenia ze swoim sprzętowym portfelem” – informowała Ilkka Turunen, badaczka Sonatype. „Gdy użytkownicy klikną na ten moduł, złośliwe oprogramowanie zaczyna pobierać środki z podłączonych portfeli”.
Szacuje się, że szkodliwy plik był aktywny przez około pięć godzin, chociaż okno aktywnej eksploatacji, podczas którego wysysano środki, było ograniczone do niecałych dwóch godzin.
Revoke.cash, jedna z firm dotkniętych tym incydentem, stwierdziła, że Ledger nie posiada zabezpieczeń wykorzystujących uwierzytelnianie dwuskładnikowe (2FA) w swoich systemach wdrożeniowych, co umożliwia osobie atakującej wykorzystanie zhakowanego konta programisty w celu opublikowania złośliwej wersji oprogramowania.
Od tego czasu Ledger usunął wszystkie trzy złośliwe wersje Connect Kit z npm i opublikował legitną wersję 1.1.8. Poinformował również o adresach portfeli ugrupowania zagrażającego i zauważył, że emitent stable coinów Tether zamroził skradzione środki.
Ten incydent jasno pokazuje ciągłe ukierunkowanie atakujących na ekosystemy typu open source, przy czym rejestry oprogramowania, takie jak PyPI i npm, coraz częściej wykorzystywane są jako wektory instalowania złośliwego oprogramowania poprzez ataki na łańcuch dostaw.
Dodatkowo firma Ledger i jej portfele sprzętowe uznawane są w kręgach sympatyków kryptowalut za najbezpieczniejsze miejsce na trzymanie swoich wirtualnych pieniędzy. Jak widać, trzeba być ostrożnym na każdym kroku, a liczba integracji z zewnętrznymi aplikacjami tylko zwiększa powierzchnię ataku.