Via een phishingaanval op een ex-medewerker brachten criminelen een malafide versie van de Ledger Connect Kit in omloop. Vervolgens ontvreemden de aanvallers voor meer dan 600.000 dollars aan cryptovaluta van gebruikers.
Malafide WalletConnect-project
Ledger biedt verschillende mogelijkheden om cryptovaluta op te slaan. De Ledger Connect Kit is een JavaScript-library. Gebruikers kunnen er hun Ledger-cryptowallet mee koppelen aan third-party apps: wallet-connected websites. Nadat de aanvallers zich toegang hadden weten te verschaffen tot het het account van de ex-werknemer, konden ze een geïnfecteerde versie van de Ledger Connect Kit verspreiden. Deze versie gebruikte een malafide WalletConnect-project om geld van Ledger-gebruikers naar de wallet van de fraudeurs te routeren.
Meerdere partijen
Ledger heeft laten weten dat het niet mogelijk zou moeten zijn dat een ex-medewerker een account had waarmee hij zelf malafide versies van de software kon verspreiden. Nieuwe versies zouden pas in omloop gebracht kunnen worden als deze door meerdere partijen zijn bekeken. Bovendien zou elke medewerker die het bedrijf verlaat, geen toegang meer tot de systemen van Ledger-systemen moeten hebben. Inmiddels is er een nieuwe, schone versie van de Ledger Connect Kit uitgerold.
Klik hier voor het bericht van chairman & CEO Pascal Gauthier van Ledger.