The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений

16.12.2023 11:22

Компания Ledger, выпускающая одноимённые аппаратные криптокошельки, раскрыла информацию о компрометации своего NPM-репозитория, которая привела к внедрению вредоносного кода в JavaScript-библиотеку Ledger Connect Kit, применяемую для обеспечения доступа децентрализованных web-приложений к криптокошелькам. Злоумышленникам удалось выпустить фиктивные версии Connect Kit, в которые был встроен код, подставляющий обманные транзакции для перевода средств с криптокошелька жертвы.

Вредоносный код распространялся в версиях Connect Kit 1.1.5, 1.1.6 и 1.1.7, и был удалён в легитимном обновлении 1.1.8. Доступ к NPM-репозиторию был получен злоумышленниками в ходе фишинг-атаки, в результате которой удалось определить параметры учётной записи одного из бывших сотрудников Ledger. В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации, оставление прав доступа у уволенного сотрудника и использование сети доставки контента, не позволяющей привязаться к конкретной проверенной версии библиотеки (приложения всегда использовали самую свежую версию).

До выявления факта компрометации и удаления вредоносного кода подставной выпуск библиотеки был доступен для загрузки в течение 5 часов, но по оценке компании Ledger фактическое время проведения атаки по выводу средств было ограничено двухчасовым интервалом. Для перенаправления средств на кошелёк жертвы в атаке был задействован подставной проект в сервисе WalletConnect, который в настоящее время заблокирован. По данным независимого исследователя ZachXBT за время атаки злоумышленникам удалось украсть с криптокошельков жертв как минимум 610 тысяч долларов. По данным сервиса Revoke.cash потери пользователями различных сайтов, применявших Connect Kit, составили более 850 тысяч долларов.

Проблема затронула только пользователей сторонних децентрализованных web-приложений (DApps), использующих библиотеку Ledger Connect Kit, и не повлияла не целостность аппаратных кошельков Ledger и приложения Ledger Live. Для снижения вероятности совершения подобных атак через компрометацию разработчиков, учётные записи участников проекта Connect Kit в NPM были переведены в режим только чтения, а прямое размещение NPM-пакета обычными разработчиками запрещено. Также были обновлены все ключи для публикации в репозитории на GitHub.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: В Ubuntu Snap Store выявлены вредоносные пакеты
  3. OpenNews: Нарушение обратной совместимости в популярном NPM-пакете привело к сбоям в различных проектах
  4. OpenNews: В Chrome Web Store выявлено 49 дополнений, перехватывающих ключи от криптокошельков
  5. OpenNews: Уязвимости в HSM-модулях, которые могут привести к атаке на ключи шифрования
  6. OpenNews: GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60294-ledger
Ключевые слова: ledger, npm, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:21, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Хорошая работа.
     
  • 1.2, Аноним (2), 11:26, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ladger был одним из лучших холодных кошельков. Был... Пока они не придумали Ladger Recovery, сервис для распределённого бэкапа seed-фразы в облачных хранилищах. Это полный провал в отношении к защите информации. Закрытый ключ должен только записываться на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим только отдачу результатов подписывания ключом. Если предусмотрена возможность передачи во вне seed-фразы для резервного копирования, о какой безопасности может идти речь? Если есть возможность программно выгрузить seed, то значит подобный запрос выгрузки можно симулировать во вредоносном ПО.
     
     
  • 2.9, morphe (?), 12:42, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе.
    Более того, для бекапа этот самый секретный ключ и надо вводить, с леджера его в таком виде не извлечь.

    Однако да, это неправильно что у леджера в принципе ключ при настройке наружу сообщается, что в то же время возможно и хорошо, учитывая насколько кривой у него внутри код. Так хоть в случае чего можно руками приватные ключи восстановить.

     
     
  • 3.15, Аноим (?), 13:02, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно
    > записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе.

    Разница в том, что фраза восстановление раньше показывалась _только_ на ЖК-экране леджера и _не_выходила_ за пределы устройства. Ladger Recovery бэкапит фразу восстановления на _внешних_ облаках, что подразумевает то, что фраза перед разделением на части будет передана на сторону приложения Lender Live и на сервер компании Ladger, а не останется только внутри устройства. Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.

     
     
  • 4.22, Аноним (22), 15:00, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ничего не ломает, это твои какие-то измышлизмы. Как бэкапить то фразу?
     
     
  • 5.33, kafka (?), 15:59, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +16 +/
    >>Как бэкапить то фразу?

    НА БУМАГЕ!

    поколение снежинок, мать  вашу.

     
     
  • 6.40, Sw00p aka Jerom (?), 16:42, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    им кто-то в уши залил, что хранить инфу на бумаге это не секурно :)
     
  • 4.36, morphe (?), 16:38, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.

    ~~Я возможно чот не понимаю, но для работы ledger recovery тебе нужно самому перегнать сид фразу в облако с его экрана, в прошивке нет возможности это автоматизировать?~~

    Да, понял, не совсем так, оно на устройстве разбивает ключ, а затем приложение ledger live передаёт на устройство 3 приватных ключа, с которыми шифруются куски согласно маркетинговым материалам. Тогда действительно не круто

     
  • 2.46, Аноним (-), 18:37, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > полный провал в отношении к защите информации. Закрытый ключ должен только записываться
    > на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим
    > только отдачу результатов подписывания ключом.

    Вопрос: а что нелох делает если чип скончался, девайс про@#$лся и тому подобное? А, ожесточенно выдирает волосы на всех местах где они растут?!

     
     
  • 3.48, torvn77 (ok), 21:24, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не лох не будет держать основные деньги на аппаратном кошельке, он нужен для удобства текущих операций.
     
  • 3.51, Аноним (51), 00:06, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нелох при начальной инициализации устройства переписывает новенькую сгенерирован... большой текст свёрнут, показать
     

  • 1.3, InuYasha (??), 11:30, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    NeverAgain.js ...и вот опять. Они там с PyPI соревнуются, похоже.
     
     
  • 2.10, Аноним (10), 12:42, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    NPM : Нас не догонят!
     

  • 1.5, Аноним (5), 11:43, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации, оставление прав доступа у уволенного сотрудника и использование сети доставки контента, не позволяющей привязаться к конкретной проверенной версии библиотеки (приложения всегда использовали самую свежую версию).

    Лучшие практики смузи-разработки.

     
     
  • 2.8, nox. (?), 12:40, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > приложения всегда использовали самую свежую версию

    Так поступают многие проекты через самостоятельное безусловное обновление.

     
     
  • 3.12, Вы забыли заполнить поле Name (?), 12:46, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Для смузихлебов новая версия - это как игрушка для собаки, у них сразу появляется слюноотделение, учащается сердцебиение и желание совершать движения.

    Смотришь на некоторые проекты, а там только комитет от бота, который араки зависимости.

     
     
  • 4.23, Аноним (22), 15:03, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эти смузихлебы сейчас с нами? Я тоже люблю новые версии, да и все любят, это только совсем дединсайдам пофиг. Не надо подменять понятие профнепригодности.
     
     
  • 5.41, Аноним (41), 17:43, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Я тоже люблю новые версии, да и все любят

    Говори за себя.

    > это только совсем дединсайдам пофиг

    Я-то думал, профи должны относиться к новому с трезвой осторожностью, а не визжать как девочки. Результаты непофигизма "весёлой хипстоты-инсайд" - в посте.

     
  • 5.54, Аноним (54), 04:55, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Не надо подменять понятие профнепригодности.

    Молодец! Сам диагноз определил. Правда начал с ним спорить. Но, все равно - это уже успех!

     
  • 5.57, User (??), 07:38, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не-не-не, не знаю, как у вас - а у нас новые версии боятся-и-ненавидят - патамучта нельзя же вот так просто - взять и не переломать все нах..., пардон, УЛУЧШИТЬ, правда? Пацаны-не-поймут, спросят "нафиг обновлял?!" тогда.
     
  • 2.44, Аноним (-), 18:28, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Лучшие практики

    лучшие теоретики, блин

     

  • 1.7, Аноним (-), 12:08, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Переходим на Tangem Wallet.
     
     
  • 2.13, Аноним (13), 12:54, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Переходим на Tangem Wallet.

    У него нет функции показа seed-а для создания резервной копии. Если потеряешь/поломаешь имеющиеся карты, деньги не восстановить. Еще непонятно как там синхронизация и генерация ключа работает, сказано, что ключ генерируется на каждой карте, но при этом есть возможность привязывать/синхронизировать дополнительные карты, значит программа может извлекать ключи или seed не такой рандомный как заявлено, очень сомнительно в плане безопасности. Где на карте берётся энтропия для генератора случайных чисел? В Ledger в энтропия формируется на основе задержек при нажатии клавиш на брелоке, а в Tangem где взять внешний шум? К тому же мутное происхождение, бренд зарегистрирован в Швейцарии, а по факту владельцы бизнеса россияне.

     
     
  • 3.14, Ким Чен Ын (?), 13:01, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не, рассиянцам доверия вообще нет
     
  • 3.21, Sw00p aka Jerom (?), 14:55, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >бренд зарегистрирован в Швейцарии

    лол,кек вы думаете где-то на белом свете позволят создавать милитари грейд устройсва защиты информации, темболее в указанной стране?

    у вашего это леджера темпер протекшен хоть имеется?

     
     
  • 4.28, Аноним (-), 15:20, 16/12/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 4.38, Sw00p aka Jerom (?), 16:39, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Создал тебе GNUK, пользуйся.

    спасибо, поржал

     
  • 3.24, Аноним (22), 15:04, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чел, признайся, сколько триллионов долларов у тебя в кошельке?
     
  • 3.27, Аноним (-), 15:18, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что вы думаете про SafePal S1?
     

  • 1.17, ИмяХ (ok), 13:31, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Неееет, такого не бывает! Криптовалюта это надёжно и безопасно, никто не сможет украсть ваши деньги, всё зашифровано так, что нужен квантовый компьютер размером с планету, чтобы его взломать.
     
     
  • 2.19, Аноним (19), 13:42, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вообще обещали что злое государство не сможет украсть.
     
  • 2.26, Аноним (22), 15:06, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А че, кто-то обещал безопасность?
     
  • 2.49, torvn77 (ok), 21:26, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так у тех кто всё делает правильно так безопасно и секюрно всё и есть.
     

  • 1.29, Аноним (29), 15:29, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Только Bitcoin core, только hardcore.
     
  • 1.30, Kuromi (ok), 15:29, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Крипта + "В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации" = замечательная безопасность.

    Знаю что сейчас в комменты набегут товарищи которые думают что двухфакторка = смс = палево по номеру телефона, но по вашему возможность тыринга крипты через "троян" в официальном софте это нормально?

     
     
  • 2.32, Вы забыли заполнить поле Name. (?), 15:50, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    TOTP у вас ещё не изобрели?
     
     
  • 3.35, Kuromi (ok), 16:30, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > TOTP у вас ещё не изобрели?

    Забыл про него упомянуть. Но кстати не им единым мир живет, есть еще WebAuthn

     
  • 3.50, torvn77 (ok), 21:27, 16/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Или U2F
     
     
  • 4.56, Kuromi (ok), 02:06, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Или U2F

    А это сейчас де факто одно и тоже (вернее, WebAuthn поглотил U2F и поддерживает устройства с ним). Как таковую поддержку именно U2F из того же ФФ уже вырезали.

     

  • 1.31, Аноним (31), 15:46, 16/12/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +1 +/
     

     ....ответы скрыты (6)

  • 1.37, Аноним (-), 16:39, 16/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хм... Интересно, у них тоже было привычное AS IS в лицензии?
    Ну и что никаких возмещений за кривой код.
     
  • 1.52, noc101 (ok), 00:48, 17/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никогда не было и вот в очередной раз повторяется. История никого не учит.
     
     
  • 2.55, Аноним (55), 13:30, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    История учит тех, кто ее застал или хотя бы изучал. Поколение смузихлебов открывает для себя все заново.
     

  • 1.58, Аноним (58), 08:46, 21/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я не понимаю, почему на всех официальных сайтах криптовалют, даже мега приватного монеро, рекомендуют использовать холодные проприетарные аппаратные кошельки, вроде Ledger. Им за это платят? Там же закрытая прошивка в них и простор для вставки закладок просто неограниченный, даже необязательно, что у вас сид фразы украдут, могут просто при подключении к компу связывать ваш айпи, с вашим кошельком и отправлять эту информацию кому надо
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру