加密硬件钱包制造商 Ledger 发布了其“@ledgerhq/connect-kit”npm 模块的新版本，此前身份不明的威胁行为者推送了恶意代码，导致超过 600,000 美元的虚拟资产被盗。 该公司在一份声明中表示，妥协是由于一名前雇员成为网络钓鱼攻击的受害者。 这允许攻击者访问 Ledger 的 npm 账户并上传该模块的三个恶意版本（1.1.5、1.1.6 和 1.1.7），并将加密消耗恶意软件传播到依赖于该模块的其他应用程序，从而导致软件供应链泄露。 “恶意代码使用流氓 WalletConnect 项目将资金重新路由到黑客钱包，”Ledger 说。 顾名思义，Connect Kit 可以将 DApp（短去中心化应用程序）连接到 Ledger 的硬件钱包。 根据安全公司Sonatype的说法，1.1.7版本直接嵌入了一个耗尽钱包的有效载荷来执行未经授权的交易，以便将数字资产转移到参与者控制的钱包中。 版本 1.1.5 和 1.1.6 虽然缺少嵌入式 drainer，但经过修改以下载辅助 npm 包，标识为 2e6d5f64604be31，它充当加密 drainer。截至撰写本文时，该模块仍可供下载。 加密硬件 “一旦安装到您的软件中，恶意软件就会向用户显示一个虚假的模态提示，邀请他们连接钱包，”Sonatype研究员Ilkka Turunen说。“一旦用户点击此模式，恶意软件就会开始从连接的钱包中抽走资金。” 据估计，恶意文件已经存在了大约五个小时，尽管资金被耗尽的活跃利用窗口仅限于不到两个小时的时间。 网络安全 受该事件影响的公司之一Revoke.cash表示，Ledger的部署系统缺乏双因素身份验证（2FA）保护，从而允许攻击者使用开发人员的受感染帐户发布该软件的恶意版本。 此后，Ledger 从 npm 中删除了所有三个恶意版本的 Connect Kit，并发布了 1.1.8 以缓解此问题。它还报告了威胁行为者的钱包地址，并指出稳定币发行商 Tether 已经冻结了被盗资金。 如果说有什么不同的话，那就是这一发展突显了开源生态系统的持续目标，PyPI和npm等软件注册表越来越多地被用作通过供应链攻击安装恶意软件的载体。 Turunen指出：“加密货币资产的具体目标表明，网络犯罪分子的策略不断演变，在数小时内获得可观的经济收益，直接将他们的恶意软件货币化。