O fabricante de carteira de hardware criptográfico Ledger publicou uma nova versão de seu módulo npm "@ledgerhq/connect-kit" após atores de ameaça não identificados inserirem código malicioso que levou ao roubo de mais de $600.000 em ativos virtuais.
A violação foi resultado de um ex-funcionário sendo vítima de um ataque de phishing, informou a empresa em comunicado.
Isso permitiu aos invasores terem acesso à conta npm da Ledger e à atualização de três versões maliciosas do módulo - 1.1.5, 1.1.6 e 1.1.7 - e propagar malware drenador de cripto para outras aplicações que dependem do módulo, resultando em uma violação da cadeia de suprimentos de software.
"O código malicioso usou um projeto rogue WalletConnect para redirecionar fundos para uma carteira de hacker", disse a Ledger.
Connect Kit, como o nome indica, possibilita a conexão de DApps (aplicações descentralizadas) às carteiras de hardware da Ledger.
De acordo com a empresa de segurança Sonatype, a versão 1.1.7 incorporou diretamente uma carga de drenagem de carteira para executar transações não autorizadas a fim de transferir ativos digitais para uma carteira controlada pelo ator.
As versões 1.1.5 e 1.1.6, apesar de não incluírem um dreno embutido, foram modificadas para baixar um pacote npm secundário, identificado como 2e6d5f64604be31, que atuou como um drenador de cripto.
O módulo ainda está disponível para download no momento da escrita.
"Uma vez instalado em seu software, o malware apresenta aos usuários um prompt modal falso que os convida a conectar carteiras", disse o pesquisador da Sonatype, Ilkka Turunen.
"Uma vez que os usuários clicam neste modal, o malware começa a drenar fundos das carteiras conectadas."
Estima-se que o arquivo malicioso esteve ativo por cerca de cinco horas, embora a janela de exploração ativa durante a qual os fundos foram drenados se limitava a um período de menos de duas horas.
A Revoke.cash, uma das empresas afetadas pelo incidente, disse que a Ledger não tinha proteções de autenticação de dois fatores (2FA) para seus sistemas de implantação, permitindo assim que um invasor usasse a conta comprometida do desenvolvedor para publicar uma versão maliciosa do software.
A Ledger desde então removeu todas as três versões maliciosas do Connect Kit de npm e publicou a 1.1.8 para mitigar o problema.
Também denunciou os endereços das carteiras dos atores de ameaça e notou que o emissor de stablecoin Tether congelou os fundos roubados.
A evolução destaca o contínuo direcionamento de ecossistemas de código aberto, com registros de software como PyPI e npm sendo usados cada vez mais como vetores para instalar malware através de ataques à cadeia de suprimentos.
"A visada específica em ativos de criptomoeda demonstra as táticas evolutivas dos cibercriminosos para alcançar ganhos financeiros significativos no espaço de horas, monetizando diretamente seu malware", observou Turunen.
O módulo npm fraudulento em questão, 2e6d5f64604be31, agora foi removido do repositório de pacotes por sua equipe de segurança por conter "código malicioso".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...