Наслідки широкомасштабні, і Ledger Connect Kit був зламаний

Ліза, Гора, Команда безпеки повільного туману

За даними розвідувальних даних команди безпеки SlowMist, увечері 14 грудня 2023 року за пекінським часом Ledger Connect Kit зазнав атаки на ланцюжок поставок, і зловмисники отримали прибуток у розмірі щонайменше $600 000.

Команда з безпеки Slow Mist втрутилася в аналіз якомога швидше і випустила раннє попередження:

Наразі інцидент офіційно вирішено, і команда безпеки Slow Mist тепер ділиться інформацією про надзвичайну ситуацію наступним чином:

Життєпис

О 19:43 користувач Twitter @g4sarah повідомив, що інтерфейс протоколу управління активами DeFi Zapper підозрюється у викраденні.

О 20:30 технічний директор Sushi, Метью Ліллі, написав у Твіттері: «Будь ласка, не взаємодійте з будь-яким dApp до подальшого повідомлення. Підозрюється, що широко використовуваний з’єднувач Web3 (бібліотека Java, яка є частиною проекту web3-react) був скомпрометований, що дозволило впровадити шкідливий код, що впливає на численні dApps. Потім він заявив, що Ledger може мати підозрілий код. Команда безпеки Slowmist негайно заявила, що відстежує та аналізує інцидент.

О 20:56 Revoke.cash написав у Твіттері: «Кілька популярних криптопрограм, інтегрованих із бібліотекою Ledger Connect Kit, включаючи Revoke.cash, були скомпрометовані. Ми тимчасово закрили сайт. Ми рекомендуємо не використовувати зашифровані веб-сайти під час цього експлойту. Згодом Kyber Network, крос-чейн проєкт DEX, також заявив, що відключив інтерфейс користувача з міркувань обережності, поки ситуація не стала зрозумілою.

О 21:31 Ledger також опублікував нагадування: «Ми виявили та видалили шкідливу версію Ledger Connect Kit. Автентичні версії просуваються для заміни шкідливих файлів, поки що не взаємодіють із жодними dApps. Ми повідомимо вам, якщо з’явиться щось нове. Ваш пристрій Ledger і Ledger Live не було скомпрометовано. 」

О 21:32 MetaMask також опублікував нагадування: «Користувачі повинні переконатися, що функція Blockaid увімкнена в розширенні MetaMask, перш ніж виконувати будь-які транзакції в портфоліо MetaMask. 」

Вплив атаки

Команда безпеки SlowMist негайно проаналізувала відповідний код, і ми виявили, що зловмисник імплантував шкідливий JS-код у версію @ledgerhq/connect-kit=1.1.5/1.1.6/1.1.7, і безпосередньо замінив звичайну логіку вікна на клас Drainer, який не тільки вискакував би фальшиве спливаюче вікно DrainerPopup, але й обробляв логіку передачі різних активів. Фішингові атаки запускаються проти користувачів криптовалюти через розподіл CDN.

Версії, яких це стосується:

@ledgerhq/connect-kit 1.1.5 (Зловмисник згадує Inferno в коді, імовірно, як «натяк» на Inferno Drainer, фішингову банду, що спеціалізується на багатоланцюгових шахрайствах)

@ledgerhq/connect-kit 1.1.6 ( Зловмисник залишає повідомлення в коді і імплантує шкідливий JS код )

@ledgerhq/connect-kit 1.1.7 ( Зловмисник залишає повідомлення в коді та імплантує шкідливий JS код )

Ledger каже, що це не вплине на сам гаманець Ledger, і що це вплине на програми, які інтегрують бібліотеку Ledger Connect Kit.

Однак багато додатків (наприклад, SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash і т.д.) використовують Ledger Connect Kit, і вплив буде тільки великим.

За допомогою цієї хвилі атак зловмисник може виконати довільний код, який має той самий рівень привілеїв, що й програма. Наприклад, зловмисник може миттєво спустошити всі кошти користувача без взаємодії, розмістити велику кількість фішингових посилань, щоб заманити користувачів на себе, або навіть скористатися панікою користувача, коли користувач намагається перевести активи на нову адресу, але завантажує підроблений гаманець і втрачає активи.

Розбір технічної тактики

Вище ми проаналізували наслідки атаки, і, ґрунтуючись на історичному досвіді надзвичайних ситуацій, припускають, що це могла бути навмисна фішингова атака соціальної інженерії.

Згідно з твітом @0xSentry, зловмисники залишили цифровий слід, пов’язаний з обліковим записом Gmail @JunichiSugiura (Джун, колишній співробітник Ledger), який, можливо, був скомпрометований, і Ledger забув видалити доступ до співробітника.

О 23:09 припущення офіційно підтвердилося - жертвою фішингової атаки став колишній співробітник Ledger:

1. зловмисник отримав доступ до облікового запису працівника NPMJS;

2. зловмисник випустив шкідливі версії Ledger Connect Kit (1.1.5, 1.1.6 та 1.1.7);

3. Зловмисник використовує шкідливий WalletConnect для переказу коштів на адресу гаманця хакера за допомогою шкідливого коду.

Наразі Ledger випустив перевірений і справжній комплект Ledger Connect Kit версії 1.1.8, тому, будь ласка, своєчасно оновлюйте його.

Незважаючи на те, що отруєна версія Ledger npmjs була видалена, на jsDelivr все ще є отруєні js-файли:

Зверніть увагу, що через фактори CDN може бути затримка, тому офіційно рекомендується почекати 24 години, перш ніж використовувати Ledger Connect Kit.

Рекомендується, щоб коли команда проекту випускає стороннє джерело зображень CDN, вона не забула заблокувати відповідну версію, щоб запобігти шкоді, спричиненій зловмисним випуском, а потім оновити. (Пропозиція від @galenyuan)

Наразі відповідні пропозиції прийняті чиновником, і вважається, що стратегія буде змінена наступним:

Офіційна остаточна хронологія Ledger:

Аналітика MistTrack

Замовник дренажу: 0x658729879fca881d9526480b82ae00efc54b5c2d

Адреса плати за злив: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

Згідно з аналізом MistTrack, зловмисник (0x658) заробив щонайменше 600 000 доларів і був пов’язаний з фішинговою бандою Angel Drainer.

Основним методом атаки банди Angel Drainer є проведення атак соціальної інженерії на постачальників послуг доменних імен та персонал, якщо вам цікаво, ви можете натиснути, щоб прочитати темного “ангела” - розкрито фішингову банду Angel Drainer.

Angel Drainer (0x412) наразі володіє активами на суму майже 363 000 доларів.

За даними SlowMist Threat Intelligence Network, є такі висновки:

1)IP 168.*.*.46,185.*.*.167

2. Зловмисник замінив деякі ETH на XMR

О 23:09 Tether заморозив адресу експлуататора Ledger. Крім того, MistTrack заблокував відповідні адреси та продовжить стежити за рухом коштів.

Підсумки

Цей інцидент вкотре доводить, що безпека DeFi – це не лише про безпеку контрактів, а й про безпеку.

З одного боку, цей інцидент ілюструє серйозні наслідки, які може мати порушення безпеки ланцюжка поставок. Шкідливе програмне забезпечення та шкідливий код можуть бути розміщені на різних етапах ланцюжка постачання програмного забезпечення, включаючи інструменти розробки, сторонні бібліотеки, хмарні сервіси та процеси оновлення. Після успішного впровадження цих шкідливих елементів зловмисники можуть використовувати їх для крадіжки криптовалютних активів і конфіденційної інформації користувачів, порушення функціональності системи, вимагання бізнесу або поширення шкідливого програмного забезпечення у великих масштабах.

З іншого боку, зловмисники можуть отримати конфіденційну інформацію, таку як особиста інформація користувачів, облікові дані та паролі за допомогою атак соціальної інженерії, а також можуть використовувати підроблені електронні листи, текстові повідомлення або телефонні дзвінки, щоб спонукати користувачів натискати шкідливі посилання або завантажувати шкідливі файли. Користувачам рекомендується використовувати надійні паролі, включаючи комбінацію букв, цифр і символів, і регулярно змінювати паролі, щоб мінімізувати ймовірність того, що зловмисники вгадають або використовують прийоми соціальної інженерії, щоб отримати паролі. При цьому для підвищення безпеки облікового запису реалізується багатофакторна аутентифікація за рахунок використання додаткових факторів аутентифікації (таких як SMS-код перевірки, розпізнавання відбитків пальців тощо) для покращення захисту від такого типу атак.