O impacto é generalizado e o Ledger Connect Kit foi pirateado

Por Lisa, Montanha, Slow Mist Safety Team

De acordo com a inteligência da equipe de segurança do SlowMist, na noite de 14 de dezembro de 2023, horário de Pequim, o Ledger Connect Kit sofreu um ataque à cadeia de suprimentos, e os atacantes tiveram um lucro de pelo menos US$ 600.000.

A equipe de segurança da Slow Mist interveio na análise o mais rápido possível e emitiu um alerta precoce:

No momento, o incidente foi oficialmente resolvido, e a equipe de segurança do Slow Mist agora compartilha as informações de emergência da seguinte forma:

Linha do tempo

Às 19h43, o usuário do Twitter @g4sarah disse que o frontend do protocolo de gerenciamento de ativos DeFi Zapper era suspeito de ter sido sequestrado.

Às 20h30, o CTO da Sushi, Matthew Lilley, tuitou: "Por favor, não interaja com nenhum dApp até novo aviso. Um conector Web3 comumente usado (uma biblioteca Java que faz parte do projeto web3-react ) é suspeito de ter sido comprometido, permitindo a injeção de código malicioso que afeta vários dApps. Em seguida, afirmou que Ledger poderia ter código suspeito. A equipe de segurança do Slowmist imediatamente afirmou que estava acompanhando e analisando o incidente.

Às 20h56, o Revoke.cash tuitou: "Vários aplicativos de criptografia populares integrados à biblioteca do Ledger Connect Kit, incluindo o Revoke.cash, foram comprometidos. Fechamos temporariamente o local. Recomendamos não usar sites encriptados durante esta exploração. Posteriormente, a Kyber Network, um projeto DEX de cadeia cruzada, também disse que havia desativado a interface do usuário front-end por uma abundância de cautela até que a situação se tornasse clara.

Às 21h31, a Ledger também emitiu um lembrete: "Identificamos e removemos uma versão maliciosa do Ledger Connect Kit. Versões genuínas estão sendo empurradas para substituir arquivos maliciosos, não interaja com nenhum dApps ainda. Vamos informá-lo se houver algo novo. Seu dispositivo Ledger e o Ledger Live não foram comprometidos. 」

Às 21h32, a MetaMask também emitiu um lembrete: "Os usuários devem certificar-se de que o recurso Blockaid foi ativado na extensão MetaMask antes de executar quaisquer transações no Portfólio MetaMask. 」

Impacto do ataque

A equipe de segurança do SlowMist imediatamente analisou o código relevante, e descobrimos que o invasor implantou código JS malicioso na versão @ledgerhq/connect-kit=1.1.5/1.1.6/1.1.7 e substituiu diretamente a lógica de janela normal pela classe Driner, que não só apareceria uma janela pop-up DrainerPopup falsa, mas também processaria a lógica de transferência de vários ativos. Os ataques de phishing são lançados contra usuários de criptomoedas por meio da distribuição CDN.

Versões afetadas:

@ledgerhq/connect-kit 1.1.5 (O atacante menciona o Inferno no código, presumivelmente como um “aceno” ao Inferno Drainer, uma gangue de phishing especializada em golpes multicadeia)

@ledgerhq/connect-kit 1.1.6 ( Atacante deixa uma mensagem no código e implanta código JS malicioso )

@ledgerhq/connect-kit 1.1.7 ( Atacante deixa uma mensagem no código e implanta código JS malicioso )

A Ledger diz que a carteira Ledger em si não é afetada e que os aplicativos que integram a biblioteca do Ledger Connect Kit são afetados.

No entanto, muitas aplicações (como SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, etc.) usam o Ledger Connect Kit, e o impacto será apenas grande.

Com essa onda de ataques, um invasor pode executar código arbitrário que tem o mesmo nível de privilégio que o aplicativo. Por exemplo, um invasor pode drenar instantaneamente todos os fundos de um usuário sem interação, postar um grande número de links de phishing para atrair os usuários a cair nele, ou até mesmo tirar proveito do pânico do usuário quando o usuário tenta transferir ativos para um novo endereço, mas baixa uma carteira falsa e perde os ativos.

Análise de táticas técnicas

Analisamos o impacto do ataque acima e, com base na experiência histórica de emergência, especula-se que possa ter sido um ataque de phishing de engenharia social premeditado.

De acordo com o tweet de @0xSentry, os atacantes deixaram um rastro digital envolvendo a conta do Gmail de @JunichiSugiura (jun, um ex-funcionário da Ledger), que pode ter sido comprometida, e Ledger esqueceu de remover o acesso ao funcionário.

Às 23h09, a especulação foi oficialmente confirmada - um ex-funcionário da Ledger foi vítima de um ataque de phishing:

1. O atacante obteve acesso à conta NPMJS do funcionário;

2. o invasor lançou versões maliciosas do Ledger Connect Kit (1.1.5, 1.1.6 e 1.1.7);

3. O invasor usa o WalletConnect malicioso para transferir fundos para o endereço da carteira do hacker através de código malicioso.

Atualmente, a Ledger lançou a versão verificada e genuína do Ledger Connect Kit 1.1.8, portanto, atualize-a em tempo hábil.

Embora a versão envenenada do Ledger npmjs tenha sido removida, ainda existem arquivos js envenenados no jsDelivr:

Observe que, devido a fatores CDN, pode haver latência, e é oficialmente recomendado esperar 24 horas antes de usar o Ledger Connect Kit.

Recomenda-se que, quando a equipe do projeto liberar uma fonte de imagem CDN de terceiros, lembre-se de bloquear a versão relevante para evitar os danos causados pela liberação maliciosa e, em seguida, atualizar. (Sugestão de @galenyuan)

Neste momento, as sugestões relevantes foram aceites pelo responsável, e acredita-se que a estratégia será alterada a seguir:

Cronograma final oficial da Ledger:

Análise MistTrack

Cliente Drainer: 0x658729879fca881d9526480b82ae00efc54b5c2d

Endereço da taxa de drenagem: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

De acordo com a análise do MistTrack, o atacante (0x658) ganhou pelo menos US$ 600.000 e estava associado à gangue de phishing Angel Drainer.

O principal método de ataque da gangue Angel Drainer é realizar ataques de engenharia social contra provedores de serviços de nome de domínio e funcionários, se você estiver interessado, você pode clicar para ler o “anjo” escuro - Angel Drainer phishing gang revelou.

Angel Drainer (0x412) detém atualmente quase US$ 363.000 em ativos.

De acordo com a SlowMist Threat Intelligence Network, existem as seguintes descobertas:

1. IP 168.*.*.46.185.*.*.167

2. O atacante substituiu alguns ETH por XMR

Às 23h09, a Tether congelou o endereço do explorador do Ledger. Além disso, o MistTrack bloqueou os endereços relevantes e continuará a monitorar a movimentação de fundos.

Resumo

Este incidente prova mais uma vez que a segurança DeFi não é apenas sobre segurança contratual, mas também sobre segurança.

Por um lado, este incidente ilustra as graves consequências que uma violação da segurança da cadeia de abastecimento pode ter. Malware e código malicioso podem ser plantados em diferentes pontos da cadeia de suprimentos de software, incluindo ferramentas de desenvolvimento, bibliotecas de terceiros, serviços de nuvem e processos de atualização. Uma vez que esses elementos maliciosos são injetados com sucesso, os atacantes podem usá-los para roubar ativos de criptomoedas e informações confidenciais do usuário, interromper a funcionalidade do sistema, extorquir empresas ou espalhar malware em grande escala.

Por outro lado, os atacantes podem obter informações confidenciais, como informações de identificação pessoal dos usuários, credenciais de conta e senhas por meio de ataques de engenharia social, e também podem usar e-mails falsificados, mensagens de texto ou telefonemas para atrair os usuários a clicar em links maliciosos ou baixar arquivos maliciosos. Os usuários são aconselhados a usar senhas fortes, incluindo uma combinação de letras, números e símbolos, e a alterar senhas regularmente para minimizar as chances de os invasores adivinharem ou usarem truques de engenharia social para colocar as mãos nas senhas. Ao mesmo tempo, a autenticação multifator é implementada para aumentar a segurança da conta, usando fatores de autenticação adicionais (como código de verificação SMS, reconhecimento de impressão digital, etc.) para melhorar a proteção contra esse tipo de ataque.