El fabricante de billeteras criptográficas Ledger publicó una nueva versión de su «@ledgerhq/connect-kit» módulo npm después de que actores de amenazas no identificados impulsaran un código malicioso que condujo al robo de más de 600 000 dólares en activos virtuales.
El compromiso fue el resultado de que un ex empleado fuera víctima de un ataque de phishing, dijo la compañía en un comunicado.
Esto permitió a los atacantes obtener acceso a la cuenta npm de Ledger y cargar tres versiones maliciosas del módulo (1.1.5, 1.1.6 y 1.1.7) y propagarse malware de drenaje criptográfico a otras aplicaciones que dependen del módulo, lo que resulta en una violación de la cadena de suministro de software.
«El código malicioso utilizó un proyecto falso de WalletConnect para redirigir fondos a una billetera de piratas informáticos», dijo.
El Connect Kit, como su nombre lo indica, permite conectar DApps (aplicaciones cortas descentralizadas) a las carteras de hardware de Ledger.
Según la firma de seguridad Sonatype, la versión 1.1.7 incorporó directamente una carga útil de drenaje de billetera para ejecutar transacciones no autorizadas con el fin de transferir activos digitales a una billetera controlada por un actor.
Acunetix es una solución integral de seguridad de aplicaciones web que le ayuda a abordar las vulnerabilidades en todos sus activos web críticos.
Conocer..
Las versiones 1.1.5 y 1.1.6, aunque carecían de un drenaje integrado, se modificaron para descargar un paquete npm secundario, identificado como 2e6d5f64604be31, que actúa como un drenaje criptográfico. El módulo todavía está disponible para descargar al momento de escribir este artículo.
«Una vez instalado en su software, el malware presenta a los usuarios un mensaje modal falso que los invita a conectar billeteras», afirma. Dijo el investigador de Sonatype Ilkka Turunen. «Una vez que los usuarios hacen clic en este modo, el malware comienza a drenar fondos de las billeteras conectadas».
Se estima que el archivo malicioso estuvo activo durante unas cinco horas, aunque la ventana de explotación activa durante la cual se drenaron los fondos se limitó a un período de menos de dos horas.
Desde entonces, Ledger eliminó las tres versiones maliciosas de Connect Kit de npm y publicó la 1.1.8 para mitigar el problema. También informó las direcciones de billetera del actor de amenazas y señaló que el emisor de la moneda estable Tether congeló los fondos robados.
En todo caso, el desarrollo subraya la apuntación continua a los ecosistemas de código abierto, con registros de software como PyPI y npm cada vez más utilizados como vectores. para instalar malware mediante ataques a la cadena de suministro.
«El objetivo específico de activos de criptomonedas demuestra la tácticas en evolución de los ciberdelincuentes para lograr ganancias financieras significativas en el espacio de horas, monetizando directamente su malware”.
Fuente: thehackernews
