Często mówi się, że pojedyncza iskra może zapoczątkować pożar. Ta analogia sprawdza się także w świecie cyfrowym, gdzie jedno złowrogie łącze phishingowe uwolniło chaos w krajobrazie kryptowalut, wywołując powszechną panikę i niepewność. Sprawcą? Były pracownik producenta portfela kryptowalut, Ledger, który padł ofiarą oszustwa phishingowego.
Odkrywanie ataku cybernetycznego
Atak phishingowy rozpoczął się, gdy imię i adres e-mail byłego pracownika Ledgera pojawiły się w skompromitowanym kodzie. To spowodowało początkowe spekulacje, że deweloper był odpowiedzialny za atak. Jednak Ledger wyjaśnił, że atak został zainicjowany, ponieważ były pracownik padł ofiarą oszustwa phishingowego.
Po uzyskaniu dostępu do konta NPMJS byłego pracownika, menedżera pakietów dla języka programowania JavaScript, atakujący był w stanie wyrządzić znaczne szkody. Deweloperzy używają tych pakietów lub bibliotek do budowy projektów, w tym zdecentralizowanych aplikacji (dApps), bez konieczności pisania wszystkiego od zera.
Od dostępu do wykorzystania
Gdy atakujący uzyskał dostęp do NPMJS, wypchnął złośliwą wersję zestawu łączności Ledger. Oznaczało to, że każdy projekt korzystający z zestawu łączności zawierał szkodliwy kod zdolny przekierować środki użytkowników do portfela hakera.
Zainfekowane wersje zestawu łączności to 1.1.5, 1.1.6 i 1.1.7, które zostały od tego czasu usunięte ze strony NPM Ledgera. Złośliwy plik był aktywny przez około pięć godzin, ale Ledger uważa, że okno, podczas którego środki zostały wypompowane, było krótsze niż dwie godziny.
Skutki i odzyskiwanie
Po incydencie Ledger wypchnął nową wersję zestawu łączności (1.1.8) i oświadczył, że wszystkie portfele korzystające z niego zostaną automatycznie zaktualizowane. Jednak zalecali użytkownikom odczekanie 24 godzin przed próbą połączenia z dApp.
Ilkka Turunen, Field CTO firmy cyberbezpieczeństwa Sonatype, zwrócił uwagę na potencjalną skalę szkód, zauważając ogromną liczbę repozytoriów na GitHubie, które polegają na łączniku connect-kit-loader. Ten incydent podkreśla znaczenie, jakie deweloperzy powinni przywiązywać do stosowania odpowiedniej higieny przy korzystaniu z takich pakietów.
Wydarzenie wzbudziło znaczne niepokoje w branży. Aftab Hossain, inwestor i doradca, wyraził swoje obawy na X (dawniej Twitterze), stwierdzając, że ekosystem może być poważnie zagrożony, jeśli kliknięcie przez jednego dewelopera w łącze phishingowe może zagrażać niemal każdej istotnej aplikacji frontendowej.
Tymczasem Tether, wydawca stablecoinów, zablokował środki powiązane z portfelem używanym przez wyzyskiwacza, który wypompował 484 000 USD od użytkowników DeFi. Portfel, powiązany z grupą phishingową znana jako Angel Drainer, był zaangażowany w kilka innych ataków DeFi.
Podczas gdy poruszamy się w skomplikowanym świecie kryptowalut, narzędzia takie jak cryptoview.io mogą pomóc nam pozostać poinformowanym i bezpiecznym. Ten incydent stanowi wyraźne przypomnienie o potencjalnych ryzykach w krajobrazie kryptowalut i znaczeniu czujności i bezpieczeństwa.
Bądź bezpieczny, bądź poinformowany, bądź bezpieczny z cryptoview.io.
