L’impact est généralisé et le kit Ledger Connect a été piraté

Par Lisa, Mountain, Équipe de sécurité de la brume lente

Selon les renseignements de l’équipe de sécurité de SlowMist, le soir du 14 décembre 2023, heure de Pékin, le kit Ledger Connect a subi une attaque de la chaîne d’approvisionnement, et les attaquants ont réalisé un bénéfice d’au moins 600 000 dollars.

L’équipe de sécurité de Slow Mist est intervenue dans l’analyse dès que possible et a émis une alerte précoce :

À l’heure actuelle, l’incident a été officiellement résolu et l’équipe de sécurité de Slow Mist partage maintenant les informations d’urgence comme suit :

Chronologie

À 19 h 43, l’utilisateur de Twitter @g4sarah a déclaré que le frontend du protocole de gestion d’actifs DeFi Zapper était soupçonné d’avoir été détourné.

À 20h30, le directeur technique de Sushi, Matthew Lilley, a tweeté : « S’il vous plaît, n’interagissez avec aucune dApp jusqu’à nouvel ordre. Un connecteur Web3 couramment utilisé (une bibliothèque Java qui fait partie du projet web3-react) est soupçonné d’avoir été compromis, permettant l’injection de code malveillant affectant de nombreuses dApps. Il a ensuite déclaré que Ledger pourrait avoir un code suspect. L’équipe de sécurité de Slowmist a immédiatement déclaré qu’elle suivait et analysait l’incident.

À 20 h 56, Revoke.cash a tweeté : « Plusieurs applications cryptographiques populaires intégrées à la bibliothèque Ledger Connect Kit, y compris Revoke.cash, ont été compromises. Nous avons temporairement fermé le site. Nous vous recommandons de ne pas utiliser de sites Web cryptés pendant cet exploit. Par la suite, Kyber Network, un projet DEX inter-chaînes, a également déclaré qu’il avait désactivé l’interface utilisateur frontale par excès de prudence jusqu’à ce que la situation devienne claire.

À 21 h 31, Ledger a également publié un rappel : « Nous avons identifié et supprimé une version malveillante du kit Ledger Connect. Les versions authentiques sont poussées pour remplacer les fichiers malveillants, n’interagissent pas encore avec les dApps. Nous vous tiendrons au courant s’il y a quelque chose de nouveau. Votre appareil Ledger et Ledger Live n’ont pas été compromis. 」

À 21h32, MetaMask a également publié un rappel : « Les utilisateurs doivent s’assurer que la fonctionnalité Blockaid a été activée dans l’extension MetaMask avant d’exécuter toute transaction sur le portefeuille MetaMask. 」

Impact de l’attaque

L’équipe de sécurité de SlowMist a immédiatement analysé le code concerné, et nous avons constaté que l’attaquant avait implanté du code JS malveillant dans la version @ledgerhq/connect-kit=1.1.5/1.1.6/1.1.7, et avait directement remplacé la logique de fenêtre normale par la classe Drainer, qui non seulement faisait apparaître une fausse fenêtre contextuelle DrainerPopup, mais traitait également la logique de transfert de divers actifs. Les attaques de phishing sont lancées contre les utilisateurs de crypto-monnaies via la distribution CDN.

Versions concernées :

@ledgerhq/connect-kit 1.1.5 (l’attaquant mentionne Inferno dans le code, vraisemblablement comme un « clin d’œil » à Inferno Drainer, un gang de phishing spécialisé dans les escroqueries multi-chaînes)

@ledgerhq/connect-kit 1.1.6 ( L’attaquant laisse un message dans le code et implante du code JS malveillant )

@ledgerhq/connect-kit 1.1.7 ( L’attaquant laisse un message dans le code et implante du code JS malveillant )

Ledger indique que le portefeuille Ledger lui-même n’est pas affecté et que les applications qui intègrent la bibliothèque Ledger Connect Kit sont affectées.

Cependant, de nombreuses applications (telles que SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, etc.) utilisent le kit Ledger Connect, et l’impact ne sera que important.

Avec cette vague d’attaques, un attaquant peut exécuter du code arbitraire qui a le même niveau de privilège que l’application. Par exemple, un attaquant peut drainer instantanément tous les fonds d’un utilisateur sans interaction, publier un grand nombre de liens de phishing pour inciter les utilisateurs à tomber dans le panneau, ou même profiter de la panique de l’utilisateur lorsque celui-ci tente de transférer des actifs vers une nouvelle adresse, mais télécharge un faux portefeuille et perd les actifs.

Analyse des tactiques techniques

Nous avons analysé l’impact de l’attaque ci-dessus et, sur la base de l’expérience historique en matière d’urgence, nous supposons qu’il pourrait s’agir d’une attaque d’hameçonnage par ingénierie sociale préméditée.

Selon le tweet de @0xSentry, les attaquants ont laissé une trace numérique impliquant le compte Gmail de @JunichiSugiura (Jun, un ancien employé de Ledger), qui pourrait avoir été compromis, et Ledger a oublié de supprimer l’accès à l’employé.

À 23h09, la spéculation a été officiellement confirmée : un ancien employé de Ledger a été victime d’une attaque de phishing :

1. L’attaquant a eu accès au compte NPMJS de l’employé ;

2. l’attaquant a publié des versions malveillantes du kit Ledger Connect (1.1.5, 1.1.6 et 1.1.7) ;

3. L’attaquant utilise WalletConnect malveillant pour transférer des fonds vers l’adresse du portefeuille du pirate via un code malveillant.

À l’heure actuelle, Ledger a publié la version 1.1.8 vérifiée et authentique de Ledger Connect Kit, veuillez donc la mettre à jour en temps opportun.

Bien que la version empoisonnée de Ledger npmjs ait été supprimée, il existe toujours des fichiers js empoisonnés sur jsDelivr :

Notez qu’en raison de facteurs CDN, il peut y avoir une latence et qu’il est officiellement recommandé d’attendre 24 heures avant d’utiliser le kit Ledger Connect.

Lorsque l’équipe de projet publie une source d’image CDN tierce, il est recommandé de ne pas oublier de verrouiller la version concernée pour éviter les dommages causés par une publication malveillante, puis de la mettre à jour. (Suggestion de @galenyuan)

À l’heure actuelle, les suggestions pertinentes ont été acceptées par le fonctionnaire, et l’on pense que la stratégie sera modifiée ensuite :

Chronologie finale officielle de Ledger :

Analyse de MistTrack

Client égouttoir : 0x658729879fca881d9526480b82ae00efc54b5c2d

Adresse des frais d’égouttage : 0x412f10AAd96fD78da6736387e2C84931Ac20313f

Selon l’analyse de MistTrack, l’attaquant (0x658) a gagné au moins 600 000 $ et était associé au gang de phishing Angel Drainer.

La principale méthode d’attaque du gang Angel Drainer consiste à mener des attaques d’ingénierie sociale sur les fournisseurs de services de noms de domaine et le personnel, si vous êtes intéressé, vous pouvez cliquer pour lire le « ange » sombre - le gang de phishing Angel Drainer révélé.

Angel Drainer (0x412) détient actuellement près de 363 000 $ d’actifs.

Selon le SlowMist Threat Intelligence Network, les résultats sont les suivants :

1)IP 168.*.*.46,185.*.*.167

2. L’attaquant a remplacé certains ETH par XMR

À 23 h 09, Tether a gelé l’adresse de l’exploiteur Ledger. En outre, MistTrack a bloqué les adresses concernées et continuera à surveiller les mouvements de fonds.

Résumé

Cet incident prouve une fois de plus que la sécurité de la DeFi n’est pas seulement une question de sécurité contractuelle, mais aussi de sécurité.

D’une part, cet incident illustre les graves conséquences que peut avoir une faille de sécurité de la chaîne d’approvisionnement. Les logiciels malveillants et le code malveillant peuvent être implantés à différents points de la chaîne d’approvisionnement logicielle, y compris les outils de développement, les bibliothèques tierces, les services cloud et les processus de mise à jour. Une fois que ces éléments malveillants sont injectés avec succès, les attaquants peuvent les utiliser pour voler des actifs en crypto-monnaie et des informations sensibles sur les utilisateurs, perturber les fonctionnalités du système, extorquer des entreprises ou diffuser des logiciels malveillants à grande échelle.

D’autre part, les attaquants peuvent obtenir des informations sensibles telles que les informations personnellement identifiables des utilisateurs, les informations d’identification de compte et les mots de passe par le biais d’attaques d’ingénierie sociale, et peuvent également utiliser des e-mails, des SMS ou des appels téléphoniques usurpés pour inciter les utilisateurs à cliquer sur des liens malveillants ou à télécharger des fichiers malveillants. Il est conseillé aux utilisateurs d’utiliser des mots de passe forts, y compris une combinaison de lettres, de chiffres et de symboles, et de changer régulièrement de mot de passe pour minimiser les risques que les attaquants devinent ou utilisent des astuces d’ingénierie sociale pour mettre la main sur les mots de passe. Dans le même temps, l’authentification multifacteur est mise en œuvre pour augmenter la sécurité du compte en utilisant des facteurs d’authentification supplémentaires (tels que le code de vérification par SMS, la reconnaissance d’empreintes digitales, etc.) pour améliorer la protection contre ce type d’attaque.