Tác động lan rộng và Ledger Connect Kit đã bị tấn công

Bởi Lisa, Mountain, Slow Mist Safety Team

Theo thông tin tình báo của nhóm bảo mật SlowMist, vào tối ngày 14/12/2023, theo giờ Bắc Kinh, Ledger Connect Kit bị tấn công chuỗi cung ứng và những kẻ tấn công đã kiếm được lợi nhuận ít nhất 600.000 USD.

Nhóm an toàn Slow Mist đã can thiệp vào phân tích càng sớm càng tốt và đưa ra cảnh báo sớm:

Hiện tại, sự cố đã chính thức được giải quyết và đội an toàn Slow Mist hiện chia sẻ thông tin khẩn cấp như sau:

Dòng thời gian

Vào lúc 7:43 tối, @g4sarah người dùng Twitter nói rằng giao diện người dùng của giao thức quản lý tài sản DeFi Zapper bị nghi ngờ đã bị tấn công.

Vào lúc 8:30 tối, CTO của Sushi, Matthew Lilley, đã tweet, "Vui lòng không tương tác với bất kỳ dApp nào cho đến khi có thông báo mới. Một trình kết nối Web3 thường được sử dụng (một thư viện Java là một phần của dự án web3-react) bị nghi ngờ đã bị xâm nhập, cho phép tiêm mã độc ảnh hưởng đến nhiều dApp. Sau đó, nó tuyên bố rằng Ledger có thể có mã đáng ngờ. Nhóm bảo mật Slowmist ngay lập tức tuyên bố rằng họ đang theo dõi và phân tích vụ việc.

Vào lúc 8:56 tối, Revoke.cash đã tweet, "Một số ứng dụng tiền điện tử phổ biến được tích hợp với thư viện Ledger Connect Kit, bao gồm Revoke.cash, đã bị xâm phạm. Chúng tôi đã tạm thời đóng cửa trang web. Chúng tôi khuyên bạn không nên sử dụng bất kỳ trang web được mã hóa nào trong quá trình khai thác này. Sau đó, Kyber Network, một dự án DEX chuỗi chéo, cũng nói rằng họ đã vô hiệu hóa giao diện người dùng front-end hết sức thận trọng cho đến khi tình hình trở nên rõ ràng.

Vào lúc 9:31 tối, Ledger cũng đưa ra lời nhắc: "Chúng tôi đã xác định và loại bỏ một phiên bản độc hại của Ledger Connect Kit. Các phiên bản chính hãng đang được đẩy mạnh để thay thế các tệp độc hại, chưa tương tác với bất kỳ dApp nào. Chúng tôi sẽ cho bạn biết nếu có điều gì đó mới. Thiết bị Ledger của bạn và Ledger Live không bị xâm phạm. 」

Vào lúc 9:32 tối, MetaMask cũng đưa ra lời nhắc: "Người dùng nên đảm bảo rằng tính năng Blockaid đã được bật trong tiện ích mở rộng MetaMask trước khi thực hiện bất kỳ giao dịch nào trên Danh mục đầu tư MetaMask. 」

Tác động tấn công

Nhóm bảo mật SlowMist ngay lập tức phân tích mã có liên quan và chúng tôi thấy rằng kẻ tấn công đã cấy mã JS độc hại vào phiên bản @ledgerhq / connect-kit = 1.1.5 / 1.1.6 / 1.1.7 và trực tiếp thay thế logic cửa sổ thông thường bằng lớp Drainer, không chỉ bật lên cửa sổ bật lên DrainerPopup giả mạo mà còn xử lý logic chuyển của các tài sản khác nhau. Các cuộc tấn công lừa đảo được đưa ra chống lại người dùng tiền điện tử thông qua phân phối CDN.

Các phiên bản bị ảnh hưởng:

@ledgerhq/connect-kit 1.1.5 (Kẻ tấn công đề cập đến Inferno trong mã, có lẽ là một “cái gật đầu” với Inferno Drainer, một băng đảng lừa đảo chuyên lừa đảo đa chuỗi)

@ledgerhq/connect-kit 1.1.6 (Kẻ tấn công để lại tin nhắn trong mã và cấy mã JS độc hại)

@ledgerhq/connect-kit 1.1.7 (Kẻ tấn công để lại tin nhắn trong mã và cấy mã JS độc hại)

Ledger nói rằng bản thân ví Ledger không bị ảnh hưởng và các ứng dụng tích hợp thư viện Ledger Connect Kit bị ảnh hưởng.

Tuy nhiên, nhiều ứng dụng (như SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, v.v.) sử dụng Ledger Connect Kit và tác động sẽ chỉ lớn.

Với làn sóng tấn công này, kẻ tấn công có thể thực thi mã tùy ý có cùng mức đặc quyền với ứng dụng. Ví dụ: kẻ tấn công có thể ngay lập tức rút hết tiền của người dùng mà không cần tương tác, đăng một số lượng lớn các liên kết lừa đảo để thu hút người dùng rơi vào nó hoặc thậm chí lợi dụng sự hoảng loạn của người dùng khi người dùng cố gắng chuyển tài sản sang địa chỉ mới, nhưng tải xuống ví giả và mất tài sản.

Phân tích chiến thuật kỹ thuật

Chúng tôi đã phân tích tác động của cuộc tấn công ở trên và dựa trên kinh nghiệm khẩn cấp lịch sử, người ta suy đoán rằng đó có thể là một cuộc tấn công lừa đảo kỹ thuật xã hội được tính toán trước.

Theo tweet của @0xSentry, những kẻ tấn công đã để lại dấu vết kỹ thuật số liên quan đến tài khoản Gmail của @JunichiSugiura (Jun, một cựu nhân viên của Ledger), có thể đã bị xâm phạm và Ledger quên xóa quyền truy cập vào nhân viên.

Vào lúc 11:09 tối, suy đoán đã chính thức được xác nhận - một cựu nhân viên của Ledger đã trở thành nạn nhân của một cuộc tấn công lừa đảo:

1. Kẻ tấn công đã có quyền truy cập vào tài khoản NPMJS của nhân viên;

2. kẻ tấn công đã phát hành các phiên bản độc hại của Ledger Connect Kit (1.1.5, 1.1.6 và 1.1.7);

3. Kẻ tấn công sử dụng WalletConnect độc hại để chuyển tiền đến địa chỉ ví của hacker thông qua mã độc.

Hiện tại, Ledger đã phát hành Ledger Connect Kit phiên bản 1.1.8 đã được xác minh và chính hãng, vì vậy vui lòng cập nhật kịp thời.

Mặc dù phiên bản bị nhiễm độc của Ledger npmjs đã bị xóa, nhưng vẫn có các tệp js bị nhiễm độc trên jsDelivr:

Lưu ý rằng do các yếu tố CDN, có thể có độ trễ và chính thức nên đợi 24 giờ trước khi sử dụng Ledger Connect Kit.

Chúng tôi khuyến cáo rằng khi nhóm dự án phát hành nguồn hình ảnh CDN của bên thứ ba, nó phải nhớ khóa phiên bản có liên quan để ngăn chặn tác hại do phát hành độc hại và sau đó cập nhật. (Gợi ý từ @galenyuan)

Hiện tại, các đề xuất có liên quan đã được quan chức chấp nhận và người ta tin rằng chiến lược sẽ được thay đổi tiếp theo:

Dòng thời gian cuối cùng chính thức của Ledger:

Phân tích MistTrack

Khách hàng thoát nước: 0x658729879fca881d9526480b82ae00efc54b5c2d

Địa chỉ phí thoát nước: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

Theo phân tích của MistTrack, kẻ tấn công (0x658) đã kiếm được ít nhất 600.000 USD và có liên quan đến băng đảng lừa đảo Angel Drainer.

Phương thức tấn công chính của băng đảng Angel Drainer là thực hiện các cuộc tấn công kỹ thuật xã hội vào các nhà cung cấp dịch vụ tên miền và nhân viên, nếu quan tâm, bạn có thể nhấp để đọc “thiên thần” bóng tối - băng đảng lừa đảo Angel Drainer tiết lộ.

Angel Drainer (0x412) hiện nắm giữ gần 363.000 USD tài sản.

Theo SlowMist Threat Intelligence Network, có những phát hiện sau:

1)IP 168.*.*.46,185.*.*.167

2. Kẻ tấn công đã thay thế một số ETH bằng XMR

Vào lúc 11:09 tối, Tether đã đóng băng địa chỉ của kẻ khai thác Ledger. Ngoài ra, MistTrack đã chặn các địa chỉ liên quan và sẽ tiếp tục theo dõi chuyển động của các quỹ.

Tóm tắt

Sự cố này một lần nữa chứng minh rằng bảo mật DeFi không chỉ là về bảo mật hợp đồng mà còn là về bảo mật.

Một mặt, sự cố này minh họa những hậu quả nghiêm trọng mà vi phạm an ninh chuỗi cung ứng có thể gây ra. Phần mềm độc hại và mã độc có thể được trồng tại các điểm khác nhau trong chuỗi cung ứng phần mềm, bao gồm các công cụ phát triển, thư viện của bên thứ ba, dịch vụ đám mây và quy trình cập nhật. Khi các yếu tố độc hại này được tiêm thành công, kẻ tấn công có thể sử dụng chúng để đánh cắp tài sản tiền điện tử và thông tin người dùng nhạy cảm, làm gián đoạn chức năng hệ thống, tống tiền doanh nghiệp hoặc phát tán phần mềm độc hại trên quy mô lớn.

Mặt khác, kẻ tấn công có thể lấy thông tin nhạy cảm như thông tin nhận dạng cá nhân, thông tin đăng nhập tài khoản và mật khẩu của người dùng thông qua các cuộc tấn công kỹ thuật xã hội và cũng có thể sử dụng email, tin nhắn văn bản hoặc cuộc gọi điện thoại giả mạo để dụ người dùng nhấp vào liên kết độc hại hoặc tải xuống các tệp độc hại. Người dùng nên sử dụng mật khẩu mạnh, bao gồm kết hợp các chữ cái, số và ký hiệu và thay đổi mật khẩu thường xuyên để giảm thiểu khả năng kẻ tấn công đoán hoặc sử dụng các thủ thuật kỹ thuật xã hội để lấy mật khẩu. Đồng thời, xác thực đa yếu tố được thực hiện để tăng tính bảo mật của tài khoản bằng cách sử dụng các yếu tố xác thực bổ sung (như mã xác minh SMS, nhận dạng vân tay, v.v.) để cải thiện khả năng bảo vệ chống lại loại tấn công này.