Это влияние широко распространено, и Ledger Connect Kit был взломан

Автор: Лиза, Гора, Команда по безопасности медленного тумана

По данным разведки команды безопасности SlowMist, вечером 14 декабря 2023 года по пекинскому времени Ledger Connect Kit подвергся атаке на цепочку поставок, и злоумышленники получили прибыль в размере не менее 600 000 долларов.

Команда безопасности Slow Mist вмешалась в анализ как можно скорее и выпустила заблаговременное предупреждение:

В настоящее время инцидент официально разрешен, и команда безопасности Slow Mist теперь делится информацией о чрезвычайной ситуации следующим образом:

Хронология

В 19:43 пользователь Twitter @g4sarah сообщил, что подозревается в взломе фронтенда протокола управления активами DeFi Zapper.

В 20:30 технический директор Sushi Мэтью Лилли написал в Твиттере: «Пожалуйста, не взаимодействуйте с какими-либо dApp до дальнейшего уведомления. Предполагается, что широко используемый коннектор Web3 (библиотека Java, являющаяся частью проекта web3-react) был скомпрометирован, что позволило внедрить вредоносный код, влияющий на многочисленные dApps. Затем он заявил, что у Ledger может быть подозрительный код. Команда безопасности Slowmist сразу же заявила, что следит за инцидентом и анализирует его.

В 20:56 Revoke.cash написал в Твиттере: «Несколько популярных криптоприложений, интегрированных с библиотекой Ledger Connect Kit, включая Revoke.cash, были скомпрометированы. Мы временно закрыли сайт. Мы рекомендуем не использовать зашифрованные веб-сайты во время этого эксплойта. Впоследствии Kyber Network, кроссчейн-проект DEX, также заявил, что отключил пользовательский интерфейс из соображений предосторожности, пока ситуация не прояснится.

В 21:31 Ledger также выпустил напоминание: «Мы обнаружили и удалили вредоносную версию Ledger Connect Kit. Подлинные версии продвигаются для замены вредоносных файлов, пока не взаимодействуют ни с какими децентрализованными приложениями. Мы сообщим вам, если появится что-то новое. Ваше устройство Ledger и Ledger Live не были скомпрометированы. 」

В 21:32 MetaMask также выпустил напоминание: «Пользователи должны убедиться, что функция Blockaid включена в расширении MetaMask, прежде чем выполнять какие-либо транзакции с портфелем MetaMask. 」

Влияние атаки

Команда безопасности SlowMist сразу же проанализировала соответствующий код, и мы обнаружили, что злоумышленник внедрил вредоносный JS-код в версию @ledgerhq/connect-kit=1.1.5/1.1.6/1.1.7 и напрямую заменил обычную логику окна на класс Drainer, который не только выдавал поддельное всплывающее окно DrainerPopup, но и обрабатывал логику передачи различных ассетов. Фишинговые атаки запускаются против пользователей криптовалют через распространение CDN.

Затронутые версии:

@ledgerhq/connect-kit 1.1.5 (Злоумышленник упоминает Inferno в коде, предположительно как «отсылку» к Inferno Drainer, фишинговой банде, специализирующейся на многоцепочечных аферах)

@ledgerhq/connect-kit 1.1.6 ( Злоумышленник оставляет сообщение в коде и внедряет вредоносный JS код )

@ledgerhq/connect-kit 1.1.7 ( Злоумышленник оставляет сообщение в коде и внедряет вредоносный JS код )

В Ledger говорят, что сам кошелёк Ledger не подвержен влиянию, а также приложения, интегрирующие библиотеку Ledger Connect Kit.

Тем не менее, многие приложения (такие как SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash и т.д.) используют Ledger Connect Kit, и влияние будет только большим.

С помощью этой волны атак злоумышленник может выполнить произвольный код, который имеет тот же уровень привилегий, что и приложение. Например, злоумышленник может мгновенно слить все средства пользователя без взаимодействия, разместить большое количество фишинговых ссылок, чтобы заманить пользователей на свою удочку, или даже воспользоваться паникой пользователя, когда пользователь пытается перевести активы на новый адрес, но загружает поддельный кошелек и теряет активы.

Разбор технической тактики

Мы проанализировали последствия атаки выше, и, основываясь на историческом опыте чрезвычайных ситуаций, можно предположить, что это могла быть преднамеренная фишинговая атака с использованием социальной инженерии.

Согласно твиту @0xSentry, злоумышленники оставили цифровой след, связанный с учетной записью Gmail @JunichiSugiura (Джуна, бывшего сотрудника Ledger), которая, возможно, была скомпрометирована, и Ledger забыл удалить доступ к сотруднику.

В 23:09 предположение официально подтвердилось — жертвой фишинговой атаки стал бывший сотрудник Ledger:

1. Злоумышленник получил доступ к учетной записи NPMJS сотрудника;

2. злоумышленник выпустил вредоносные версии Ledger Connect Kit (1.1.5, 1.1.6 и 1.1.7);

3. Злоумышленник использует вредоносный WalletConnect для перевода средств на адрес кошелька хакера с помощью вредоносного кода.

В настоящее время Ledger выпустил проверенную и подлинную версию Ledger Connect Kit 1.1.8, поэтому, пожалуйста, своевременно обновляйте её.

Несмотря на то, что отравленная версия npmjs в Ledger была удалена, на jsDelivr всё ещё есть отравленные js-файлы:

Обратите внимание, что из-за факторов CDN может быть задержка, и официально рекомендуется подождать 24 часа, прежде чем использовать Ledger Connect Kit.

Рекомендуется, чтобы при выпуске стороннего источника образов CDN проектная группа не забывала блокировать соответствующую версию, чтобы предотвратить вред, вызванный вредоносным выпуском, а затем обновляться. (Предложение от @galenyuan)

В настоящее время соответствующие предложения приняты чиновником, и предполагается, что в дальнейшем стратегия будет изменена:

Официальная окончательная хронология Ledger:

Аналитика MistTrack

Заказчик сушилки: 0x658729879fca881d9526480b82ae00efc54b5c2d

Адрес платы за осушитель: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

Согласно анализу MistTrack, злоумышленник (0x658) заработал не менее 600 000 долларов и был связан с фишинговой бандой Angel Drainer.

Основным методом атаки банды Angel Drainer является проведение атак социальной инженерии на поставщиков услуг доменных имен и персонал, если вам интересно, вы можете щелкнуть, чтобы прочитать темного «ангела» - раскрыта фишинговая банда Angel Drainer.

Angel Drainer (0x412) в настоящее время владеет активами на сумму около 363 000 долларов.

По данным SlowMist Threat Intelligence Network, можно сделать следующие выводы:

1)IP 168.*.*.46,185.*.*.167

2. Злоумышленник заменил некоторые ETH на XMR

В 23:09 Tether заморозил адрес эксплойтера Ledger. Кроме того, MistTrack заблокировал соответствующие адреса и продолжит следить за движением средств.

Резюме

Этот инцидент еще раз доказывает, что безопасность DeFi — это не только безопасность контрактов, но и безопасность.

С одной стороны, этот инцидент иллюстрирует серьезные последствия, к которым может привести нарушение безопасности цепочки поставок. Вредоносное ПО и вредоносный код могут быть размещены в разных точках цепочки поставок программного обеспечения, включая средства разработки, сторонние библиотеки, облачные службы и процессы обновления. После успешного внедрения этих вредоносных элементов злоумышленники могут использовать их для кражи криптовалютных активов и конфиденциальной информации пользователей, нарушения функциональности системы, вымогательства у бизнеса или распространения вредоносного ПО в больших масштабах.

С другой стороны, злоумышленники могут получить конфиденциальную информацию, такую как личная информация пользователей, учетные данные и пароли, с помощью атак социальной инженерии, а также могут использовать поддельные электронные письма, текстовые сообщения или телефонные звонки, чтобы заманить пользователей перейти по вредоносным ссылкам или загрузить вредоносные файлы. Пользователям рекомендуется использовать надежные пароли, включающие комбинацию букв, цифр и символов, а также регулярно менять пароли, чтобы свести к минимуму вероятность того, что злоумышленники угадают пароли или используют приемы социальной инженерии, чтобы заполучить пароли. В то же время многофакторная аутентификация реализована для повышения безопасности аккаунта за счет использования дополнительных факторов аутентификации (таких как код подтверждения SMS, распознавание отпечатков пальцев и т.д.) для улучшения защиты от данного типа атаки.