Kripto Donanım Cüzdanı Ledger'ın Tedarik Zinciri İhlali 600.000 Dolarlık Hırsızlıkla Sonuçlandı

Şirketten yapılan açıklamada, uzlaşmanın eski bir çalışanın kimlik avı saldırısına kurban gitmesinin sonucu olduğu belirtildi.

Bu, saldırganların Ledger'ın npm hesabına erişmesine ve modülün üç kötü amaçlı sürümünü (1.1.5, 1.1.6 ve 1.1.7) yüklemesine ve kripto boşaltıcı kötü amaçlı yazılımını modüle bağımlı diğer uygulamalara yaymasına izin vererek yazılım tedarik zinciri ihlaline neden oldu.

Ledger, "Kötü amaçlı kod, fonları bir bilgisayar korsanı cüzdanına yönlendirmek için sahte bir WalletConnect projesi kullandı" dedi.

Connect Kit, adından da anlaşılacağı gibi, DApp'leri (kısa merkeziyetsiz uygulamalar) Ledger'ın donanım cüzdanlarına bağlamayı mümkün kılar.

Güvenlik firması Sonatype'a göre, 1.1.7 sürümü, dijital varlıkları aktör tarafından kontrol edilen bir cüzdana aktarmak için yetkisiz işlemleri gerçekleştirmek için doğrudan cüzdan tüketen bir yük yerleştirdi.

1.1.5 ve 1.1.6 sürümleri, gömülü bir süzgeçten yoksun olsa da, kripto süzgeci görevi gören 2e6d5f64604be31 olarak tanımlanan ikincil bir npm paketini indirecek şekilde değiştirildi. Modül, yazma itibariyle hala indirilebilir.

Sonatype araştırmacısı Ilkka Turunen, "Kötü amaçlı yazılım, yazılımınıza yüklendikten sonra, kullanıcılara cüzdanları bağlamaya davet eden sahte bir modal istem sunar" dedi. "Kullanıcılar bu modu tıkladığında, kötü amaçlı yazılım bağlı cüzdanlardan para çekmeye başlar."

Kötü amaçlı dosyanın yaklaşık beş saattir yayında olduğu tahmin ediliyor, ancak fonların boşaltıldığı aktif istismar penceresi iki saatten daha kısa bir süre ile sınırlıydı.

Olaydan etkilenen şirketlerden biri olan Revoke.cash, Ledger'ın dağıtım sistemleri için iki faktörlü kimlik doğrulama (2FA) korumasından yoksun olduğunu ve bu nedenle bir saldırganın yazılımın kötü amaçlı bir sürümünü yayınlamak için geliştiricinin güvenliği ihlal edilmiş hesabını kullanmasına izin verdiğini söyledi.

Ledger o zamandan beri Connect Kit'in üç kötü amaçlı sürümünü de npm'den kaldırdı ve sorunu azaltmak için 1.1.8'i yayınladı. Ayrıca tehdit aktörünün cüzdan adreslerini bildirdi ve stablecoin ihraççısı Tether'in çalınan fonları dondurduğunu kaydetti.

Geliştirme, PyPI ve npm gibi yazılım kayıtlarının tedarik zinciri saldırıları yoluyla kötü amaçlı yazılım yüklemek için giderek daha fazla vektör olarak kullanılmasıyla açık kaynaklı ekosistemlerin sürekli hedeflendiğinin altını çiziyor.

Turunen, "Kripto para varlıklarının özel olarak hedeflenmesi, siber suçluların saatler içinde önemli finansal kazançlar elde etmek ve kötü amaçlı yazılımlarından doğrudan para kazanmak için gelişen taktiklerini gösteriyor" dedi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği