التأثير واسع الانتشار ، وتم اختراق مجموعة أدوات Ledger Connect

بواسطة ليزا ، ماونتن ، فريق سلامة الضباب البطيء

وفقا لاستخبارات فريق الأمن SlowMist ، في مساء يوم 14 ديسمبر 2023 ، بتوقيت بكين ، عانت مجموعة Ledger Connect Kit من هجوم سلسلة التوريد ، وحقق المهاجمون ربحا لا يقل عن 600,000 دولار.

تدخل فريق سلامة الضباب البطيء في التحليل في أقرب وقت ممكن وأصدر تحذيرا مبكرا:

في الوقت الحالي ، تم حل الحادث رسميا ، ويشارك فريق السلامة في Slow Mist الآن معلومات الطوارئ على النحو التالي:

الجدول الزمني

في الساعة 7:43 مساء ، قال مستخدم Twitter @g4sarah إن الواجهة الأمامية لبروتوكول إدارة أصول DeFi Zapper يشتبه في اختطافها.

في الساعة 8:30 مساء ، غرد ماثيو ليلي ، كبير مسؤولي التكنولوجيا في سوشي ، "من فضلك لا تتفاعل مع أي dApp حتى إشعار آخر. يشتبه في أن موصل Web3 شائع الاستخدام (مكتبة Java التي تعد جزءا من مشروع web3-react) قد تم اختراقه ، مما يسمح بإدخال تعليمات برمجية ضارة تؤثر على العديد من dApps. ثم ذكرت أن Ledger قد يكون لديه رمز مشبوه. ذكر فريق الأمن Slowmist على الفور أنه يتابع ويحلل الحادث.

في الساعة 8:56 مساء ، غرد Revoke.cash ، "تم اختراق العديد من تطبيقات التشفير الشائعة المدمجة مع مكتبة Ledger Connect Kit ، بما في ذلك Revoke.cash. لقد أغلقنا الموقع مؤقتا. نوصي بعدم استخدام أي مواقع ويب مشفرة أثناء هذا الاستغلال. في وقت لاحق ، قال Kyber Network ، وهو مشروع DEX عبر السلسلة ، إنه قام بتعطيل واجهة المستخدم الأمامية بدافع الحذر الشديد حتى أصبح الموقف واضحا.

في الساعة 9:31 مساء ، أصدر Ledger أيضا تذكيرا: "لقد حددنا وأزلنا إصدارا ضارا من Ledger Connect Kit. يتم دفع الإصدارات الأصلية لاستبدال الملفات الضارة ، ولا تتفاعل مع أي dApps حتى الآن. سنخبرك إذا كان هناك شيء جديد. لم يتم اختراق جهاز Ledger وLedger Live. 」

في الساعة 9:32 مساء ، أصدرت MetaMask أيضا تذكيرا: "يجب على المستخدمين التأكد من تمكين ميزة Blockaid في امتداد MetaMask قبل تنفيذ أي معاملات على محفظة MetaMask. 」

تأثير الهجوم

قام فريق أمان SlowMist على الفور بتحليل الكود ذي الصلة ، ووجدنا أن المهاجم قام بزرع رمز JS ضار في إصدار @ledgerhq / connect-kit = 1.1.5 / 1.1.6 / 1.1.7 ، واستبدل مباشرة منطق النافذة العادية بفئة Drainer ، والتي لن تظهر نافذة منبثقة مزيفة ل DrainerPopup فحسب ، بل ستعالج أيضا منطق النقل للأصول المختلفة. يتم إطلاق هجمات التصيد الاحتيالي ضد مستخدمي العملات المشفرة عبر توزيع CDN.

الإصدارات المتأثرة:

@ledgerhq / connect-kit 1.1.5 (يذكر المهاجم Inferno في الكود ، على الأرجح ك “إيماءة” إلى Inferno Drainer ، وهي عصابة تصيد متخصصة في عمليات الاحتيال متعددة السلاسل)

@ledgerhq / connect-kit 1.1.6 (يترك المهاجم رسالة في الكود ويزرع رمز JS الضار)

@ledgerhq/connect-kit 1.1.7 (يترك المهاجم رسالة في الكود ويزرع رمز JS الخبيث)

يقول Ledger أن محفظة Ledger نفسها لا تتأثر ، وأن التطبيقات التي تدمج مكتبة Ledger Connect Kit تتأثر.

ومع ذلك ، فإن العديد من التطبيقات (مثل SushiSwap و Zapper و MetalSwap و Harvest Finance و Revoke.cash وما إلى ذلك) تستخدم Ledger Connect Kit ، وسيكون التأثير كبيرا فقط.

باستخدام هذه الموجة من الهجمات ، يمكن للمهاجم تنفيذ تعليمات برمجية عشوائية لها نفس مستوى امتياز التطبيق. على سبيل المثال ، يمكن للمهاجم استنزاف جميع أموال المستخدم على الفور دون تفاعل ، أو نشر عدد كبير من روابط التصيد الاحتيالي لجذب المستخدمين إلى الوقوع في حبها ، أو حتى الاستفادة من ذعر المستخدم عندما يحاول المستخدم نقل الأصول إلى عنوان جديد ، لكنه يقوم بتنزيل محفظة مزيفة ويفقد الأصول.

تحليل التكتيكات الفنية

لقد قمنا بتحليل تأثير الهجوم أعلاه ، واستنادا إلى تجربة الطوارئ التاريخية ، يعتقد أنه ربما كان هجوم تصيد هندسي اجتماعي متعمد.

وفقا لتغريدة @0xSentry ، ترك المهاجمون أثرا رقميا يتضمن حساب Gmail الخاص ب @JunichiSugiura (جون ، موظف سابق في Ledger) ، والذي ربما تم اختراقه ، ونسي Ledger إزالة الوصول إلى الموظف.

في الساعة 11:09 مساء ، تم تأكيد التكهنات رسميا - أصبح موظف سابق في Ledger ضحية لهجوم تصيد احتيالي:

1. تمكن المهاجم من الوصول إلى حساب NPMJS الخاص بالموظف ؛

2. أصدر المهاجم إصدارات ضارة من Ledger Connect Kit (1.1.5 و 1.1.6 و 1.1.7) ؛

3. يستخدم المهاجم WalletConnect الضار لتحويل الأموال إلى عنوان محفظة المتسلل من خلال تعليمات برمجية ضارة.

حاليا، أصدرت Ledger الإصدار 1.1.8 من Ledger Connect Kit الذي تم التحقق منه والأصلي، لذا يرجى تحديثه في الوقت المناسب.

على الرغم من إزالة الإصدار المسموم من Ledger npmjs ، لا تزال هناك ملفات js مسمومة على jsDelivr:

لاحظ أنه نظرا لعوامل CDN ، قد يكون هناك زمن انتقال ، ويوصى رسميا بالانتظار لمدة 24 ساعة قبل استخدام Ledger Connect Kit.

يوصى عندما يقوم فريق المشروع بإصدار مصدر صورة CDN تابع لجهة خارجية ، يجب أن يتذكر قفل الإصدار ذي الصلة لمنع الضرر الناجم عن الإصدار الضار ثم التحديث. (اقتراح من @galenyuan)

في الوقت الحاضر ، تم قبول الاقتراحات ذات الصلة من قبل المسؤول ، ويعتقد أنه سيتم تغيير الاستراتيجية بعد ذلك:

الجدول الزمني النهائي الرسمي لدفتر الأستاذ:

تحليلات ميست تراك

عميل الصرف: 0x658729879fca881d9526480b82ae00efc54b5c2d

عنوان رسوم الصرف: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

وفقا لتحليل MistTrack ، حقق المهاجم (0x658) ما لا يقل عن 600000 دولار وكان مرتبطا بعصابة التصيد الاحتيالي Angel Drainer.

تتمثل طريقة الهجوم الرئيسية لعصابة Angel Drainer في تنفيذ هجمات الهندسة الاجتماعية على مزودي خدمات اسم المجال والموظفين ، إذا كنت مهتما ، يمكنك النقر لقراءة “الملاك” المظلم - كشفت عصابة التصيد الاحتيالي Angel Drainer.

يمتلك Angel Drainer (0x412) حاليا ما يقرب من 363,000 ألف دولار من الأصول.

وفقا لشبكة SlowMist Threat Intelligence Network ، هناك النتائج التالية:

1. IP 168.*.*.46,185.*.*.167

2. استبدل المهاجم بعض ETH XMR

في الساعة 11:09 مساء ، جمد Tether عنوان مستغل دفتر الأستاذ. بالإضافة إلى ذلك ، قام MistTrack بحظر العناوين ذات الصلة وسيستمر في مراقبة حركة الأموال.

ملخص

يثبت هذا الحادث مرة أخرى أن أمان DeFi لا يتعلق فقط بأمان العقد ، ولكن أيضا بالأمان.

من ناحية ، يوضح هذا الحادث العواقب الوخيمة التي يمكن أن يحدثها خرق أمان سلسلة التوريد. يمكن زرع البرامج الضارة والتعليمات البرمجية الضارة في نقاط مختلفة في سلسلة توريد البرامج ، بما في ذلك أدوات التطوير ومكتبات الجهات الخارجية والخدمات السحابية وعمليات التحديث. بمجرد حقن هذه العناصر الضارة بنجاح ، يمكن للمهاجمين استخدامها لسرقة أصول العملة المشفرة ومعلومات المستخدم الحساسة ، أو تعطيل وظائف النظام ، أو ابتزاز الشركات ، أو نشر البرامج الضارة على نطاق واسع.

من ناحية أخرى ، يمكن للمهاجمين الحصول على معلومات حساسة مثل معلومات التعريف الشخصية للمستخدمين وبيانات اعتماد الحساب وكلمات المرور من خلال هجمات الهندسة الاجتماعية ، ويمكنهم أيضا استخدام رسائل البريد الإلكتروني المخادعة أو الرسائل النصية أو المكالمات الهاتفية لجذب المستخدمين للنقر على الروابط الضارة أو تنزيل الملفات الضارة. ينصح المستخدمون باستخدام كلمات مرور قوية ، بما في ذلك مجموعة من الأحرف والأرقام والرموز ، وتغيير كلمات المرور بانتظام لتقليل فرص تخمين المهاجمين أو استخدام حيل الهندسة الاجتماعية للحصول على كلمات المرور. في الوقت نفسه ، يتم تنفيذ المصادقة متعددة العوامل لزيادة أمان الحساب باستخدام عوامل مصادقة إضافية (مثل رمز التحقق عبر الرسائل القصيرة ، والتعرف على بصمات الأصابع ، وما إلى ذلك) لتحسين الحماية ضد هذا النوع من الهجوم.