Производитель Crypto hardware wallet Ledger опубликовал новую версию своего модуля npm "@ledgerhq / connect-kit" после того, как неизвестные злоумышленники запустили вредоносный код, который привел к краже более 600 000 долларов виртуальных активов.
Компромисс произошел в результате того, что бывший сотрудник стал жертвой фишинг-атаки, говорится в заявлении компании.
Это позволило злоумышленникам получить доступ к учетной записи npm Ledger и загрузить три вредоносные версии модуля – 1.1.5, 1.1.6 и 1.1.7 — и распространить вредоносное ПО crypto drainer на другие приложения, зависящие от модуля, что привело к нарушению цепочки поставок программного обеспечения.
"Вредоносный код использовал мошеннический проект WalletConnect для перенаправления средств на хакерский кошелек", - сказал Леджер.
Connect Kit, как следует из названия, позволяет подключать dApps (сокращенно децентрализованные приложения) к аппаратным кошелькам Ledger.
По данным охранной фирмы Sonatype, версия 1.1.7 напрямую встроила полезную нагрузку для слива средств с кошелька для выполнения несанкционированных транзакций с целью перевода цифровых активов на кошелек, контролируемый участником.
Версии 1.1.5 и 1.1.6, в которых отсутствует встроенный слив, были изменены для загрузки дополнительного пакета npm, идентифицированного как 2e6d5f64604be31, который действует как слив криптовалюты. На момент написания статьи модуль все еще доступен для скачивания.
"После установки в ваше программное обеспечение вредоносная программа предоставляет пользователям поддельную модальную подсказку, которая приглашает их подключить кошельки", - сказал исследователь Sonatype Илкка Турунен. "Как только пользователи переходят через этот режим, вредоносная программа начинает выводить средства из подключенных кошельков".
По оценкам, вредоносный файл находился в режиме реального времени около пяти часов, хотя период активного использования, в течение которого были выведены средства, был ограничен периодом менее двух часов.
С тех пор Ledger удалила все три вредоносные версии Connect Kit из npm и опубликовала 1.1.8, чтобы устранить проблему. Компания также сообщила адреса кошельков участников угрозы и отметила, что эмитент стабильной валюты Tether заморозил украденные средства.
Во всяком случае, разработка подчеркивает продолжающееся нацеливание на экосистемы с открытым исходным кодом, при этом реестры программного обеспечения, такие как PyPI и npm, все чаще используются в качестве векторов для установки вредоносного ПО посредством атак по цепочке поставок.
"Конкретное нацеливание на криптовалютные активы демонстрирует эволюционирующую тактику киберпреступников для достижения значительных финансовых выгод в течение нескольких часов, напрямую монетизируя свое вредоносное ПО", - отметил Турунен.
Компромисс произошел в результате того, что бывший сотрудник стал жертвой фишинг-атаки, говорится в заявлении компании.
Это позволило злоумышленникам получить доступ к учетной записи npm Ledger и загрузить три вредоносные версии модуля – 1.1.5, 1.1.6 и 1.1.7 — и распространить вредоносное ПО crypto drainer на другие приложения, зависящие от модуля, что привело к нарушению цепочки поставок программного обеспечения.
"Вредоносный код использовал мошеннический проект WalletConnect для перенаправления средств на хакерский кошелек", - сказал Леджер.
Connect Kit, как следует из названия, позволяет подключать dApps (сокращенно децентрализованные приложения) к аппаратным кошелькам Ledger.
По данным охранной фирмы Sonatype, версия 1.1.7 напрямую встроила полезную нагрузку для слива средств с кошелька для выполнения несанкционированных транзакций с целью перевода цифровых активов на кошелек, контролируемый участником.
Версии 1.1.5 и 1.1.6, в которых отсутствует встроенный слив, были изменены для загрузки дополнительного пакета npm, идентифицированного как 2e6d5f64604be31, который действует как слив криптовалюты. На момент написания статьи модуль все еще доступен для скачивания.
"После установки в ваше программное обеспечение вредоносная программа предоставляет пользователям поддельную модальную подсказку, которая приглашает их подключить кошельки", - сказал исследователь Sonatype Илкка Турунен. "Как только пользователи переходят через этот режим, вредоносная программа начинает выводить средства из подключенных кошельков".
По оценкам, вредоносный файл находился в режиме реального времени около пяти часов, хотя период активного использования, в течение которого были выведены средства, был ограничен периодом менее двух часов.
С тех пор Ledger удалила все три вредоносные версии Connect Kit из npm и опубликовала 1.1.8, чтобы устранить проблему. Компания также сообщила адреса кошельков участников угрозы и отметила, что эмитент стабильной валюты Tether заморозил украденные средства.
Во всяком случае, разработка подчеркивает продолжающееся нацеливание на экосистемы с открытым исходным кодом, при этом реестры программного обеспечения, такие как PyPI и npm, все чаще используются в качестве векторов для установки вредоносного ПО посредством атак по цепочке поставок.
"Конкретное нацеливание на криптовалютные активы демонстрирует эволюционирующую тактику киберпреступников для достижения значительных финансовых выгод в течение нескольких часов, напрямую монетизируя свое вредоносное ПО", - отметил Турунен.
