Атака на цепочку поставок Ledger Connect Kit

14 декабря 2023 года была совершена атака на цепочку поставок, нацеленная на библиотеку Ledger Connect Kit — JavaScript-библиотеку, используемую многими децентрализованными приложениями для интеграции с аппаратными кошельками Ledger.

Вредоносная версия библиотеки была опубликована в реестре npm и содержала код, перенаправляющий пользователей на фишинговый сайт для кражи криптоактивов.

Атака затронула несколько крупных dApps, включая SushiSwap и Revoke.cash, что вызвало срочные меры по удалению вредоносной версии и восстановлению безопасности.

Атака продолжалась несколько часов, после чего Ledger восстановил контроль над библиотекой и выпустил безопасное обновление. Пользователи, взаимодействовавшие с dApps в этот период, могли подвергнуться риску кражи.

Ledger подтвердил, что взлом произошёл через скомпрометированный аккаунт бывшего сотрудника, и призвал пользователей проверять взаимодействия с кошельками и использовать только доверенные источники.

FAQ

Что такое Ledger Connect Kit?

Это JavaScript-библиотека для подключения dApps к аппаратным кошелькам Ledger.

Как произошла атака?

Вредоносное обновление было загружено в npm и перенаправляло пользователей на фишинговый сайт.

Что делать пострадавшим пользователям?

Рекомендуется отозвать подозрительные разрешения, проверить активность кошелька и избегать непроверенных dApps.