ClickCease Brecha en la cadena de suministro de Ledger: descubierto un robo de 600.000 dólares

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Brecha en la cadena de suministro de Ledger: descubierto un robo de 600.000 dólares

Wajahat Raja

26 de diciembre de 2023 - Equipo de expertos TuxCare

Los últimos acontecimientos han sacado a la luz la brecha en la cadena de suministro de Ledgerun incidente de ciberdelincuencia que provocó el robo de 600.000 dólares en activos virtuales. Para aquellos que no lo sepan, Ledger es una empresa que desarrolla monederos de criptodivisas basados en hardware y software. Informes recientes afirman que la brecha de seguridad en la cartera de criptomonedas fue consecuencia de que un antiguo empleado cayera presa de un ataque de phishing.

En este artículo, nos sumergiremos en los detalles de la brecha de Ledger y robo de criptomoneda criptomoneda para ver lo que realmente sucedió.

 

Investigación del robo de 600.000 dólares en el Ledger


Aunque los detalles de los actores de la amenaza no han sido identificados, los detalles revelan que una versión maliciosa del Ledger Connect Kit fue utilizada para la ejecución de la
brecha de seguridad en la cartera de criptomonedas. El Connect Kit es una biblioteca utilizada para conectar aplicaciones descentralizadas (dApps) creadas por otras empresas a los monederos Ledger.

Después de que el ex empleado cayera víctima de una estratagema de phishing, los atacantes pudieron acceder a la cuenta NPM de Ledger y empujar tres módulos de versiones maliciosas que incluyen 1.1.5, 1.1.6 y 1.1.7. Esto les permitió propagar un malware de drenaje de criptomonedas a otras aplicaciones que funcionaban con dependencia del módulo y lanzar un ataque de cadena de suministro a gran escala. Esto les permitió propagar un malware drenador de criptomonedas a otras aplicaciones que funcionaban con dependencia del módulo y lanzar un ataque a gran escala en la cadena de suministro. 


Detalles técnicos de la
violación de la cadena de suministro de Ledger


Según la
carta del presidente de Ledgerpublicada en el sitio web, la brecha de seguridad de la cartera de criptomoneda estuvo activa durante cinco horas. Se ha descubierto que las versiones 1.1.5 y 1.1.6 carecían de un entrenador integrado. Sin embargo, los módulos maliciosos se modificaron para garantizar la descarga de un paquete NPM secundario, identificado como 2e6d5f64604be31.


Cabe mencionar que el paquete mencionado anteriormente actuaba como drenador de criptomonedas. El módulo malicioso versión 1.1.7, incrustado con una carga útil de drenaje de billetera, se utilizó para la ejecución de transacciones no autorizadas. Una vez completadas las transacciones,
los fondos robados en la brecha Ledger se transferían a un monedero controlado por el actor de la amenaza.


Contramedidas contra la violación de la cadena de suministro de Ledger


En cuanto a
prevención de ataques a la cadena de suministro en cripto los equipos de seguridad de Ledger se alteraron, y se desplegó una solución en 40 minutos. Un extracto de la carta del presidente proporciona más información sobre las contramedidas, "El archivo malicioso estuvo activo durante unas 5 horas. Sin embargo, creemos que la ventana en la que se drenaron los fondos se limitó a un periodo inferior a dos horas."

Se identificó que el código malicioso utilizaba un proyecto WalletConnect fraudulento para redirigir fondos. Sin embargo, los equipos de Ledger pudieron conectar con WalletConnet, que desactivó el proyecto fraudulento. Cabe señalar que el impacto monetario impacto monetario del ataque a la cadena de suministro de Ledger habría sido significativamente mayor si las transferencias de fondos hubieran continuado durante todo el ataque.

 

Ledger salvaguarda los activos de criptomoneda 


Según el comunicado oficial, la versión 1.1.8 verificada de Ledger Connect Kit es segura de usar. Para garantizar la seguridad de los criptoactivos, Ledger, junto con WalletConnect y otros socios, han informado de la dirección de la cartera del actor de la amenaza. El equipo cree actualmente que los fondos robados en la brecha de Ledger fueron transferidos a la dirección mencionada a continuación. 

  • 0x658729879fca881d9526480b82ae00efc54b5c2d.

Ledger, además de denunciar la dirección, también ha emprendido acciones legales. En un extracto en el que se comparte información sobre el asunto se lee, "También estamos presentando una denuncia y trabajando con las fuerzas de seguridad en la investigación para encontrar al atacante". También están trabajando con los clientes cuyos fondos puedan verse afectados.

Como parte de sus medidas de seguridad para los monederos criptográficos de hardware y carteras de software, también están estudiando el exploit para evitar nuevos ataques en el futuro. El sitio consecuencias de la brecha en el monedero Ledger y las implicaciones monetarias sirven como un duro recordatorio para la implementación de medidas de seguridad para delitos relacionados con las criptomonedas.


Conclusión 


El sitio
brecha en la cadena de suministro de Ledgeriniciada a partir de un ataque de phishing, se convirtió rápidamente en un incidente infame. Un incidente que provocó el robo de activos virtuales por valor de 600.000 dólares. Ledger identificó rápidamente la actividad maliciosa e implementó las soluciones necesarias para contener los daños. A pesar de ello, el incidente es un impactante recordatorio de que las organizaciones deben adoptar medidas proactivas de ciberseguridad para protegerse de las amenazas modernas.

Las fuentes de este artículo incluyen artículos en The Hacker News y TechCrunch.

Resumen
Brecha en la cadena de suministro de Ledger: descubierto un robo de 600.000 dólares
Nombre del artículo
Brecha en la cadena de suministro de Ledger: descubierto un robo de 600.000 dólares
Descripción
Infórmate sobre la brecha en la cadena de suministro de Ledger, mantente al día de las tendencias de actividad maliciosa y protege tus criptoactivos hoy mismo.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín