Ledger, fabricante de carteras de hardware criptográficas, publicó una nueva versión de su «@ledgerhq/kit-conectar» módulo npm después de que actores de amenazas no identificados insertaran código malicioso que condujo al robo de más de $600,000 en activos virtuales.
El compromiso fue el resultado de que un ex empleado fuera víctima de un ataque de phishing, dijo la compañía en un comunicado.
Esto permitió a los atacantes obtener acceso a la cuenta npm de Ledger y cargar tres versiones maliciosas del módulo (1.1.5, 1.1.6 y 1.1.7) y propagarse. malware cripto drenador a otras aplicaciones que dependen del módulo, lo que resulta en una violación de la cadena de suministro de software.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
«El código malicioso utilizó un proyecto falso de WalletConnect para redirigir fondos a una billetera de piratas informáticos», Ledger dicho.
Kit de conexióncomo su nombre lo indica, permite conectar DApps (aplicaciones descentralizadas cortas) a las billeteras de hardware de Ledger.
Según la firma de seguridad Sonatype, la versión 1.1.7 incorporó directamente una carga útil de drenaje de billetera para ejecutar transacciones no autorizadas con el fin de transferir activos digitales a una billetera controlada por un actor.
Las versiones 1.1.5 y 1.1.6, aunque carecían de un drenaje integrado, se modificaron para descargar un paquete npm secundario, identificado como 2e6d5f64604be31, que actúa como un drenaje criptográfico. El módulo todavía está disponible para descargar al momento de escribir este artículo.
«Una vez instalado en su software, el malware presenta a los usuarios un mensaje modal falso que los invita a conectar billeteras», dijo el investigador de Sonatype Ilkka Turunen. «Una vez que los usuarios hacen clic en este modo, el malware comienza a drenar fondos de las billeteras conectadas».
Se estima que el archivo malicioso estuvo activo durante unas cinco horas, aunque la ventana de explotación activa durante la cual se drenaron los fondos se limitó a un período de menos de dos horas.
Desde entonces, Ledger eliminó las tres versiones maliciosas de Connect Kit de npm y publicó la 1.1.8 para mitigar el problema. También informó las direcciones de billetera del actor de amenazas y señaló que el emisor de la moneda estable Tether congeló los fondos robados.
En todo caso, el desarrollo subraya el continuo ataque a los ecosistemas de código abierto, con registros de software como PyPI y npm cada vez más utilizados como vectores para instalar malware a través de ataques a la cadena de suministro.
«El objetivo específico de los activos de criptomonedas demuestra la Tácticas en evolución de los ciberdelincuentes lograr ganancias financieras significativas en cuestión de horas, monetizando directamente su malware», señaló Turunen.