首页
归档
友情链接
Search
1
新的 5G 调制解调器缺陷影响主要品牌的 iOS 设备和 Android 型号
64 阅读
2
不忘初心Windows 10 LTSC 2019美化精简版
54 阅读
3
西瓜视频6.0.0无广告版
42 阅读
4
俄罗斯军事黑客使用新的 MASEPIE 恶意软件瞄准乌克兰
41 阅读
5
Typecho图片水印插件waterMark
40 阅读
操作系统
网络收集
安全新闻
源码插件
登录
Search
标签搜索
西瓜视频6.0.0无广告版
GitHub官网加速访问工具
显卡检测工具 GPU
微软常用运行库合集
Win10 v22H2不忘初心游戏版
5G调制解调器缺陷影
Bitzlato
激活工具
PDF24工具箱
MSI Afterburner
Typecho Sitemap插件
Typecho百度推送插件
Typecho蜘蛛来访插件
俄罗斯黑客
图吧工具箱
Python可视化开发工具
谷歌浏览器精简版
电信运营商 Kyivstar被黑客攻击
Google
GambleForce
05博客
累计撰写
65
篇文章
累计收到
10
条评论
首页
栏目
操作系统
网络收集
安全新闻
源码插件
页面
归档
友情链接
搜索到
1
篇与
的结果
2023-12-18
Crypto Hardware Wallet Ledger 的供应链漏洞导致 600,000 美元被盗
加密硬件钱包制造商 Ledger 发布了其“@ledgerhq/connect-kit”npm 模块的新版本,此前身份不明的威胁行为者推送了恶意代码,导致超过 600,000 美元的虚拟资产被盗。该公司在一份声明中表示,妥协是由于一名前雇员成为网络钓鱼攻击的受害者。这允许攻击者访问 Ledger 的 npm 账户并上传该模块的三个恶意版本(1.1.5、1.1.6 和 1.1.7),并将加密消耗恶意软件传播到依赖于该模块的其他应用程序,从而导致软件供应链泄露。“恶意代码使用流氓 WalletConnect 项目将资金重新路由到黑客钱包,”Ledger 说。顾名思义,Connect Kit 可以将 DApp(短去中心化应用程序)连接到 Ledger 的硬件钱包。根据安全公司Sonatype的说法,1.1.7版本直接嵌入了一个耗尽钱包的有效载荷来执行未经授权的交易,以便将数字资产转移到参与者控制的钱包中。版本 1.1.5 和 1.1.6 虽然缺少嵌入式 drainer,但经过修改以下载辅助 npm 包,标识为 2e6d5f64604be31,它充当加密 drainer。截至撰写本文时,该模块仍可供下载。加密硬件“一旦安装到您的软件中,恶意软件就会向用户显示一个虚假的模态提示,邀请他们连接钱包,”Sonatype研究员Ilkka Turunen说。“一旦用户点击此模式,恶意软件就会开始从连接的钱包中抽走资金。”据估计,恶意文件已经存在了大约五个小时,尽管资金被耗尽的活跃利用窗口仅限于不到两个小时的时间。网络安全受该事件影响的公司之一Revoke.cash表示,Ledger的部署系统缺乏双因素身份验证(2FA)保护,从而允许攻击者使用开发人员的受感染帐户发布该软件的恶意版本。此后,Ledger 从 npm 中删除了所有三个恶意版本的 Connect Kit,并发布了 1.1.8 以缓解此问题。它还报告了威胁行为者的钱包地址,并指出稳定币发行商 Tether 已经冻结了被盗资金。如果说有什么不同的话,那就是这一发展突显了开源生态系统的持续目标,PyPI和npm等软件注册表越来越多地被用作通过供应链攻击安装恶意软件的载体。Turunen指出:“加密货币资产的具体目标表明,网络犯罪分子的策略不断演变,在数小时内获得可观的经济收益,直接将他们的恶意软件货币化。
2023年12月18日
8 阅读
0 评论
0 点赞