Le fabricant de portefeuilles matériels cryptographiques Ledger a publié une nouvelle version de son « @ledgerhq/connect-kit » module npm après que des acteurs malveillants non identifiés ont poussé un code malveillant qui a conduit au vol de plus de 600 000 $ dans les actifs virtuels.
Le compromis était le résultat d’un ancien employé victime d’une attaque de phishing, a indiqué l’entreprise dans un communiqué.
Cela a permis aux attaquants d’accéder au compte npm de Ledger, de télécharger trois versions malveillantes du module – 1.1.5, 1.1.6 et 1.1.7 – et de se propager. malware draineur de crypto à autres applications qui dépendent du module, entraînant une rupture de la chaîne d’approvisionnement logicielle.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
« Le code malveillant a utilisé un projet WalletConnect malveillant pour rediriger les fonds vers un portefeuille de pirate informatique », Ledger dit.
Kit de connexioncomme son nom l’indique, permet de connecter des DApps (applications décentralisées courtes) aux portefeuilles matériels de Ledger.
Selon la société de sécurité Sonatype, la version 1.1.7 intégrait directement une charge utile drainant le portefeuille pour exécuter des transactions non autorisées afin de transférer des actifs numériques vers un portefeuille contrôlé par un acteur.
Les versions 1.1.5 et 1.1.6, bien qu’elles ne disposent pas d’un draineur intégré, ont été modifiées pour télécharger un package npm secondaire, identifié comme 2e6d5f64604be31, qui agit comme un draineur de crypto. Le module est toujours disponible en téléchargement au moment de la rédaction.
« Une fois installé dans votre logiciel, le malware présente aux utilisateurs une fausse invite modale qui les invite à connecter des portefeuilles », a déclaré Ilkka Turunen, chercheur chez Sonatype. « Une fois que les utilisateurs cliquent sur ce modal, le malware commence à drainer les fonds des portefeuilles connectés. »
On estime que le fichier malveillant est actif depuis environ cinq heures, bien que la fenêtre d’exploitation active pendant laquelle les fonds ont été drainés ait été limitée à une période de moins de deux heures.
Ledger a depuis supprimé les trois versions malveillantes de Connect Kit de npm et publié la version 1.1.8 pour atténuer le problème. Il a également signalé les adresses de portefeuille des acteurs menaçants et a noté que l’émetteur de stablecoin Tether avait gelé les fonds volés.
Au contraire, ce développement souligne le ciblage continu des écosystèmes open source, avec des registres de logiciels tels que PyPI et npm de plus en plus utilisés comme vecteurs pour l’installation de logiciels malveillants via des attaques sur la chaîne d’approvisionnement.
« Le ciblage spécifique des actifs de crypto-monnaie démontre l’importance évolution des tactiques des cybercriminels pour réaliser des gains financiers significatifs en l’espace de quelques heures, en monétisant directement leurs logiciels malveillants », a noté Turunen.