Il produttore di portafogli hardware per criptovalute Ledger ha pubblicato una nuova versione del suo modulo npm “ledgerhq/connect-kit” dopo che attori minacciosi non identificati hanno inserito codice malevolo, portando al furto di oltre $600.000 in asset virtuali.
Com’è avvenuta la compromissione di Ledger?
La compromissione è stata il risultato di un attacco di phishing subito da un ex dipendente dell’azienda. Questo ha permesso agli attaccianti di accedere all’account npm di Ledger e caricare tre versioni malevole del modulo – 1.1.5, 1.1.6 e 1.1.7 – diffondendo malware per il drenaggio di criptovalute ad altre applicazioni dipendenti dal modulo, risultando in una violazione della catena di fornitura software.
Dettagli Tecnici dell’Attacco
Il codice malevolo utilizzava un progetto WalletConnect fasullo per reindirizzare i fondi verso un portafoglio controllato dall’hacker. Connect Kit, come suggerisce il nome, consente di collegare DApps (applicazioni decentralizzate) ai portafogli hardware di Ledger.
Secondo la società di sicurezza Sonatype, la versione 1.1.7 incorporava direttamente un payload per il drenaggio di portafogli per eseguire transazioni non autorizzate al fine di trasferire asset digitali a un portafoglio controllato dall’attore. Le versioni 1.1.5 e 1.1.6, sebbene prive di un drenatore incorporato, erano modificate per scaricare un secondo pacchetto npm, identificato come 2e6d5f64604be31, che agiva come un drenatore di criptovalute.
Impatto e Risposta all’Incidente
Il file malevolo è stato stimato attivo per circa cinque ore, sebbene la finestra di sfruttamento attivo durante la quale i fondi sono stati drenati sia stata limitata a un periodo di meno di due ore.
Revoke.cash, una delle aziende colpite dall’incidente, ha affermato che Ledger mancava di protezioni di autenticazione a due fattori (2FA) per i suoi sistemi di distribuzione, permettendo così a un attaccante di utilizzare l’account compromesso dello sviluppatore per pubblicare una versione malevola del software.
Ledger ha da allora rimosso tutte e tre le versioni malevole di Connect Kit da npm e pubblicato la versione 1.1.8 per mitigare il problema. Ha anche segnalato gli indirizzi del portafoglio dell’attore minaccioso e notato che l’emittente di stablecoin Tether ha congelato i fondi rubati.
Considerazioni sulla Sicurezza nell’Ecosistema Open-Source
Lo sviluppo sottolinea il continuo targeting degli ecosistemi open-source, con registri software come PyPI e npm sempre più utilizzati come vettori per installare malware tramite attacchi alla catena di fornitura.
“Il mirato specifico degli asset crittografici dimostra le tattiche in evoluzione dei cybercriminali per ottenere guadagni finanziari significativi nell’arco di ore, monetizzando direttamente il loro malware,” ha osservato Turunen di Sonatype.
Il modulo npm fraudolento in questione, 2e6d5f64604be31, è stato ora rimosso dal repository dei pacchetti dal suo team di sicurezza per contenere “codice malevolo.”