Gebruikers van Ledger zijn voor honderdduizenden dollars aan cryptovaluta bestolen nadat criminelen via een phishingaanval op een ex-medewerker van de cryptowallet-aanbieder een malafide versie van de Ledger Connect Kit konden verspreiden. Dat heeft Ledger bekendgemaakt. Ledger biedt verschillende apparaten voor het opslaan van cryptovaluta. De Ledger Connect Kit is een JavaScript-library waarmee gebruikers hun Ledger-cryptowallet kunnen koppelen aan third-party apps, ook wel wallet-connected websites genoemd.
Gisteren werd een voormalige Ledger-werknemer slachtoffer van een phishingaanval, waarbij de aanvallers toegang tot zijn NPMJS-account kregen. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële package.
Nadat de aanvallers toegang tot het account van de ex-werknemer hadden gekregen konden ze een besmette versie van de Ledger Connect Kit verspreiden. Deze versie gebruikte een malafide WalletConnect-project om geld van Ledger-gebruikers naar de wallet van de aanvallers te routeren. Volgens Ledger was de malafide code zo'n vijf uur actief en is er voor zover nu bekend gedurende een periode van twee uur cryptovaluta gestolen. Volgens crypto-onderzoeker ZachXBT gaat het om een bedrag van ruim 600.000 dollar. Ledger stelt dat het slachtoffers van de aanval gaat helpen bij het terugkrijgen van hun geld en dat de aanval was beperkt tot third-party apps die van de Ledger Connect Kit gebruikmaken.
Hoe het kan dat een ex-medewerker over een account beschikt waarmee het mogelijk is om zelf malafide versies van de software te verspreiden claimt Ledger dat dit eigenlijk niet hoort te kunnen. Nieuwe versies zouden pas kunnen worden verspreid als die door meerdere partijen zijn bekeken. Daarnaast zou elke medewerker die het bedrijf verlaat geen toegang meer tot Ledger-systemen moeten hebben. Waarom het in dit geval niet is gebeurd laat Ledger niet weten, dat alleen spreekt over een 'geïsoleerd incident'. Er is inmiddels een schone versie van de Ledger Connect Kit uitgerold en de 'secrets' om code via Ledger's GitHub te verspreiden zijn geroteerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.