加密硬件钱包制造商 Ledger 遭受了供应链攻击，导致价值 600,000 美元的虚拟资产被盗。

黑客发布了一个恶意版本的“@ledgerhq/connect-kit” npm 模块，该模块原本由加密硬件钱包制造商 Ledger 开发。这次攻击导致超过 60 万美元的虚拟资产遭窃。

在发现问题后，Ledger 立即发布了其 npm 模块的新版本（版本1.1.8），并已将恶意的 npm 模块（版本号为2e6d5f64604be31）从代码库中移除。

攻击者利用网络钓鱼攻击获取了一位 Ledger 前员工的凭据和对 Ledger 的NPMJS账户的访问权限。

“今天我们经历了对 Ledger Connect Kit 的攻击，这是一个实现一键功能的 JavaScript 库，允许用户将其 Ledger 设备连接到第三方 DApps（与钱包相关的网站）。这次攻击源于一位前员工遭受网络钓鱼攻击，导致黑客能够上传恶意文件至 Ledger 的 NPMJS（这是一个用于在应用程序间共享 JavaScript 代码的软件包管理器）。” Ledger 主席兼 CEO Pascal Gauthier 在一份声明中指出。“我们与合作伙伴 WalletConnect 紧急合作，解决了这次攻击，并在发现问题后的40分钟内更新了 NPMJS，停用并移除了恶意代码。”

初步观察显示，该账户可能未启用多重身份验证（MFA）。接着，黑客上传了三个恶意版本的模块（1.1.5、1.1.6和1.1.7），其中包含加密货币挖矿恶意软件。

Ledger 的库确认遭到入侵，并被替换为一个挖矿程序。在情况变得更清楚之前，请暂停与任何DApps的交互。

—banteg (@bantg) 2023年12月14日

由于供应链攻击，依赖含有恶意软件模块的应用程序都受到了损害。

这个恶意模块的恶意版本在线上存在了约 5 小时。Ledger 在 WalletConnect 的帮助下迅速禁用了这个恶意项目。Ledger、WalletConnect 及其合作伙伴确认了黑客的钱包地址（0x658729879fca881d9526480b82ae00efc54b5c2d），而 Tether 已经冻结了他们的资金。