Ledger 模块遭投毒,价值60万美元的密币被盗
2023-12-15 17:30:13 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

 聚焦源代码安全,网罗国内外最新资讯!

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

硬件钱包服务 Ledger 允许用户购买、管理以及将自身数字化资产以离线方式安全存储,支持多种密币如比特币和以太坊。该公司提供的 Ledger dApps Connect Kit 库,允许 web3 应用连接到 Ledger 硬件钱包。今天,Ledger 公司提醒用户称,Ledger dApp Connect Kit 库被投毒遭供应链攻击,推送 JavaScript Wallet Drainer,窃取了价值60万美元的密币和 NFTs,因此应停止使用 web3 dApps。

Ledger 公司告诫用户称,其 Ledger Connect Kit 库遭投毒,被添加至该库中的恶意代码是一个 wallet drainer,可从连接到该 app 的密币和 NFTs 中实施偷盗。

Ledger Connect Kit 库的恶意版本已被删除,新的版本 1.1.8已上传至 Ledger 的分发渠道中。然而,所有潜在受影响的项目必须首先用非恶意版本替换恶意版本后才能安全使用。

从受影响的 GitHub 仓库发布的一份通知来看,该 wallet drainer 代码影响 Connect Kit 的1.1.5至1.1.7版本,是通过一个受陷的NPM账户被注入库中的。

另外,Ledger 建议用户通过相关指南“Clear Sign”所有交易。用户应在确保使用Connect Kit 安全版本之后才能与任何 DApp 进行交互。该公司还提醒称,目前正在发生的钓鱼攻击试图利用这一情况,并建议用户对于要求分享24个词机密恢复阶段的信息保持警惕。

Ledger 公司表示,今晨,一名离职员工遭钓鱼攻击,导致 NPMJS 账户遭攻陷,进而导致该库失陷,“攻击者发布了 Ledger Connect Kit 的恶意版本。该恶意代码使用恶意 WalletConnect 项目将资金重新路由至黑客的钱包。”Ledger 表示发现事件后40分钟内部署了修复方案,该受陷库仅存在了5个小时。

Ledger 公司向用户保证称,用于管理密币资产的核心硬件(Ledger 设备)和主要的软件应用 (Ledger Live) 并未失陷或直接受该供应链攻击影响。

Wallet Drainer

区块链安全公司 SlowMist 报道称,这次事件始于攻击者在 Ledger Connect Kit 1.1.5的代码中留下一条信息,可能目的是进行测试。在1.1.6和1.1.7版本中,植入了严重混淆的恶意 JavaScript 代码。

BleepingComputer 分析脚本后认为该恶意代码的功能是从 Coinbase、Trust Wallet和 MetaMask 中窃取密币和NFTs。目前,关于该事件的调查仍在进行中,因部署该 drainer 造成的影响或实际的损失尚未确定。不过有报道称,这次供应链攻击导致价值68万美元的财产被盗。

Ledger 表示已举报了黑客的钱包地址,Tether 也已经冻结了被盗的USDT。Ledger 承诺将在后续发布完整报告,目前正在着手修复该库并开展调查活动。

开源卫士试用地址:https://oss.qianxin.com
代码卫士试用地址:https://codesafe.qianxin.com

推荐阅读

软件供应链投毒 — NPM 恶意组件分析

奇安信开源卫士率先通过可信开源治理工具评估

在线阅读版:《2023中国软件供应链安全分析报告》全文

奇安信入选全球《软件成分分析全景图》代表厂商

奇安信入选全球《静态应用安全测试全景图》代表厂商

英韩:Lazarus 黑客组织利用安全认证软件 0day 漏洞发动供应链攻击

Okta 支持系统遭攻陷,已有Cloudflare、1Password等三家客户受影响

黑客攻陷Okta发动供应链攻击,影响130多家组织机构

Okta 结束Lapsus$ 供应链事件调查,称将加强第三方管控

Okta 提醒:社工攻击正在瞄准超级管理员权限

《软件供应商手册:SBOM的生成和提供》解读

Telegram 和 AWS等电商平台用户遭供应链攻击

美国商务部发布软件物料清单 (SBOM) 的最小元素(上)

美国商务部发布软件物料清单 (SBOM) 的最小元素(中)

美国商务部发布软件物料清单 (SBOM) 的最小元素(下)

速修复MOVEit Transfer 中的这个新0day!

MOVEit 文件传输软件0day被用于窃取数据

MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击

OilRig APT 组织或在中东地区发动更多 IT 供应链攻击

“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响

多租户AWS漏洞暴露账户资源

适用于Kubernetes 的AWS IAM 验证器中存在漏洞,导致提权等攻击

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥

如何找到 AWS 环境下应用程序中易于得手的漏洞?

题图:pixabay License

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518385&idx=1&sn=920e1b53e562e259ae95b9ed422d75ac&chksm=ea94b9dbdde330cd31a8dec234cb95d285a8f20abd975574c351d2a5b1b1ed0b5530e1c0a63e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh