Kripto Donanım Cüzdanı Ledger'ın Tedarik Zinciri İhlali 600.000 Dolarlık Hırsızlıkla Sonuçlandı
Kripto donanım cüzdanı üreticisi Ledger, kimliği belirsiz tehdit aktörlerinin 600.000 dolardan fazla sanal varlığın çalınmasına yol açan kötü amaçlı kod göndermesinin ardından "@ledgerhq/connect-kit" npm modülünün yeni bir sürümünü yayınladı.
Şirketten yapılan açıklamada, uzlaşmanın eski bir çalışanın kimlik avı saldırısına kurban gitmesinin sonucu olduğu belirtildi.
Bu, saldırganların Ledger'ın npm hesabına erişmesine ve modülün üç kötü amaçlı sürümünü (1.1.5, 1.1.6 ve 1.1.7) yüklemesine ve kripto boşaltıcı kötü amaçlı yazılımını modüle bağımlı diğer uygulamalara yaymasına izin vererek yazılım tedarik zinciri ihlaline neden oldu.
Ledger, "Kötü amaçlı kod, fonları bir bilgisayar korsanı cüzdanına yönlendirmek için sahte bir WalletConnect projesi kullandı" dedi.
Connect Kit, adından da anlaşılacağı gibi, DApp'leri (kısa merkeziyetsiz uygulamalar) Ledger'ın donanım cüzdanlarına bağlamayı mümkün kılar.
Güvenlik firması Sonatype'a göre, 1.1.7 sürümü, dijital varlıkları aktör tarafından kontrol edilen bir cüzdana aktarmak için yetkisiz işlemleri gerçekleştirmek için doğrudan cüzdan tüketen bir yük yerleştirdi.
1.1.5 ve 1.1.6 sürümleri, gömülü bir süzgeçten yoksun olsa da, kripto süzgeci görevi gören 2e6d5f64604be31 olarak tanımlanan ikincil bir npm paketini indirecek şekilde değiştirildi. Modül, yazma itibariyle hala indirilebilir.
Sonatype araştırmacısı Ilkka Turunen, "Kötü amaçlı yazılım, yazılımınıza yüklendikten sonra, kullanıcılara cüzdanları bağlamaya davet eden sahte bir modal istem sunar" dedi. "Kullanıcılar bu modu tıkladığında, kötü amaçlı yazılım bağlı cüzdanlardan para çekmeye başlar."
Kötü amaçlı dosyanın yaklaşık beş saattir yayında olduğu tahmin ediliyor, ancak fonların boşaltıldığı aktif istismar penceresi iki saatten daha kısa bir süre ile sınırlıydı.
Olaydan etkilenen şirketlerden biri olan Revoke.cash, Ledger'ın dağıtım sistemleri için iki faktörlü kimlik doğrulama (2FA) korumasından yoksun olduğunu ve bu nedenle bir saldırganın yazılımın kötü amaçlı bir sürümünü yayınlamak için geliştiricinin güvenliği ihlal edilmiş hesabını kullanmasına izin verdiğini söyledi.
Ledger o zamandan beri Connect Kit'in üç kötü amaçlı sürümünü de npm'den kaldırdı ve sorunu azaltmak için 1.1.8'i yayınladı. Ayrıca tehdit aktörünün cüzdan adreslerini bildirdi ve stablecoin ihraççısı Tether'in çalınan fonları dondurduğunu kaydetti.
Geliştirme, PyPI ve npm gibi yazılım kayıtlarının tedarik zinciri saldırıları yoluyla kötü amaçlı yazılım yüklemek için giderek daha fazla vektör olarak kullanılmasıyla açık kaynaklı ekosistemlerin sürekli hedeflendiğinin altını çiziyor.
Turunen, "Kripto para varlıklarının özel olarak hedeflenmesi, siber suçluların saatler içinde önemli finansal kazançlar elde etmek ve kötü amaçlı yazılımlarından doğrudan para kazanmak için gelişen taktiklerini gösteriyor" dedi.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı