投稿者: リサ & シャン @ スロー ミスト セキュリティ チーム

SlowMist セキュリティチームの情報によると、北京時間の 2023 年 12 月 14 日の夜、Ledger Connect Kit はサプライチェーン攻撃を受け、攻撃者は少なくとも 60 万米ドルの利益を得ました。

SlowMist セキュリティ チームは直ちに分析に介入し、早期に警告を発しました。

SlowMist セキュリティチームの情報によると、北京時間の 2023 年 12 月 14 日の夜、Ledger Connect Kit はサプライチェーン攻撃を受け、攻撃者は少なくとも 60 万米ドルの利益を得ました。

SlowMist セキュリティ チームは直ちに分析に介入し、早期に警告を発しました。

現在、この事件は正式に解決されており、SlowMist セキュリティ チームは次のように緊急情報を共有しています。

タイムライン

午後7時43分、Twitterユーザー@g4sarahは、DeFi資産管理プロトコルZapperのフロントエンドがハイジャックされた疑いがあると述べた。

午後8時30分、寿司の最高技術責任者マシュー・リリー氏はツイッターで警告を発した：「ユーザーは追って通知があるまでdAppを操作しないよう求められる。一般的に使用されるWeb3コネクタ（web3-reactプロジェクトの一部であるJavaScriptライブラリ）」侵害された疑いがあり、多数の dApp に影響を与える悪意のあるコードの挿入を可能にしました。」 その後、Ledger には不審なコードが存在する可能性があると述べられました。 SlowMist セキュリティ チームは、この事件を追跡調査し、分析していると直ちに発表しました。

午後8時56分、Revoke.cashはツイートした：「Ledger Connect Kitライブラリに統合されたRevoke.cashを含む複数の共通暗号アプリケーションが侵害されました。サイトを一時的に閉鎖しました。脆弱性を修正することをお勧めします。いかなるものも使用しないでください」その後、クロスチェーン DEX プロジェクトの Kyber Network も、状況が明らかになるまで警戒してフロントエンド UI を無効にしていると述べました。

午後9時31分、Ledgerはまた、「私たちはLedger Connect Kitの悪意のあるバージョンを特定し、削除しました。現在、悪意のあるファイルを置き換えるために正規のバージョンをプッシュしています。当面はdAppsを操作しないでください。」とリマインダーを発行しました。新しい状況が発生した場合は、お客様に通知します。お使いの Ledger デバイスと Ledger Live は侵害されていません。」

午後9時32分、MetaMaskはまた、「ユーザーがMetaMaskポートフォリオで取引を実行する前に、MetaMask拡張機能でBlockaid機能が有効になっていることを確認してください」と注意喚起を行った。

攻撃の影響

SlowMist セキュリティ チームは直ちに関連コードの分析を開始し、攻撃者が @ledgerhq/connect-kit =1.1.5/1.1.6/1.1.7 バージョンに悪意のある JS コードを埋め込み、通常のコードを Drainer クラスに直接置き換えたことが判明しました。ウィンドウ ロジックは、偽の DrainerPopup ポップアップ ウィンドウをポップアップするだけでなく、さまざまなアセットの転送ロジックも処理します。 CDN 配信を介した暗号通貨ユーザーに対するフィッシング攻撃。

影響を受けるバージョン範囲:

@ledgerhq/connect-kit 1.1.5 (攻撃者はコード内で Inferno に言及しており、おそらくマルチチェーン詐欺を専門とするフィッシング グループ Inferno Drainer に敬意を表しています)

@ledgerhq/connect-kit 1.1.6 (攻撃者はコード内にメッセージを残し、悪意のある JS コードを埋め込みました)

@ledgerhq/connect-kit 1.1.7 (攻撃者はコード内にメッセージを残し、悪意のある JS コードを埋め込みました)

Ledgerは、Ledgerウォレット自体は影響を受けないが、Ledger Connect Kitライブラリを統合するアプリケーションは影響を受けると述べた。

ただし、多くのアプリケーション (SushiSwap、Zapper、MetalSwap、Harvest Finance、Revoke.cash など) が Ledger Connect Kit を使用しており、その影響はさらに大きくなります。

ただし、多くのアプリケーション (SushiSwap、Zapper、MetalSwap、Harvest Finance、Revoke.cash など) が Ledger Connect Kit を使用しており、その影響はさらに大きくなります。

この攻撃により、攻撃者はアプリケーションと同じ権限レベルで任意のコードを実行することができます。たとえば、攻撃者は、対話なしでユーザーの資金をすべて即時に使い果たしたり、大量のフィッシング リンクを公開してユーザーをだまさせたり、さらにはユーザーのパニックに乗じて資産を新しいアドレスに転送しようとしたりする可能性があります。偽のウォレットをダウンロードし、資産を損失します。

技術的および戦術的分析

私たちは上記の攻撃の影響を分析し、過去の緊急事態の経験に基づいて、これは計画的なソーシャル エンジニアリング フィッシング攻撃である可能性があると推測しました。

@0xSentry のツイートによると、攻撃者が残したデジタル痕跡の 1 つに @JunichiSugura (元 Ledger 従業員の Jun) の Gmail アカウントが含まれており、これが侵害され、Ledger が従業員のアクセス権を削除するのを忘れた可能性があります。

午後 11 時 9 分、当局はこの推測を確認しました。元レジャー従業員がフィッシング攻撃の被害者になりました。

1) 攻撃者は従業員の NPMJS アカウントにアクセスしました。

2) 攻撃者は、Ledger Connect Kit の悪意のあるバージョン (1.1.5、1.1.6、および 1.1.7) をリリースしました。

3) 攻撃者は悪意のある WalletConnect を使用し、悪意のあるコードを通じてハッカーのウォレット アドレスに資金を転送します。

現在、Ledger は正規の検証済み Ledger Connect Kit バージョン 1.1.8 をリリースしています。間に合うようにアップグレードしてください。

Ledger npmjs の毒されたバージョンは削除されましたが、jsDelivr にはまだ毒された js ファイルが存在します。

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

CDN 要因により遅延が発生する可能性があることに注意してください。公式では、Ledger Connect Kit を使用する前に 24 時間待つことを推奨しています。

プロジェクト関係者がサードパーティ CDN に依存するミラー ソースを公開する場合、悪意のあるリリースやその後の更新によって引き起こされる害を防ぐために、関連するバージョンを忘れずにロックすることをお勧めします。 (@galenyuan からの提案)

現時点では、関係者は関連する提案を受け入れており、次のように戦略が変更されると思います。

Ledgerの公式最終スケジュール:

ミストトラック分析

ドレイナー顧客: 0x658729879fca881d9526480b82ae00efc54b5c2d

ドレイナー料金アドレス: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

MistTrack の分析によると、攻撃者 (0x658) は少なくとも 600,000 米ドルを稼ぎ、フィッシング グループ Angel Drainer に関連していることが判明しました。

Angel Drainer ギャングの主な攻撃方法は、ドメイン名サービス プロバイダーとスタッフに対してソーシャル エンジニアリング攻撃を行うことです。興味がある場合は、クリックして「Dark "Angel" - Angel Drainer フィッシング ギャングが明らかにする」を参照してください。

Angel Drainer(0x412) は現在、約 363,000 ドルの資産を保有しています。

SlowMist Threat Intelligence Network によると、次のことが判明しました。

1) IP 168.*.*.46、185.*.*.167

2) 攻撃者は一部の ETH を XMR に交換しました

午後 11 時 9 分、Tether は Ledger エクスプロイターのアドレスを凍結しました。さらに、MistTrack は関連するアドレスをブロックし、資金の変更を監視し続けます。

要約する

この事件は、DeFiのセキュリティが契約のセキュリティだけではなく、セキュリティ全体に関するものであることを改めて証明しました。

一方で、この事件は、サプライチェーンのセキュリティ侵害が深刻な結果を招く可能性があることを示しています。マルウェアや悪意のあるコードは、開発ツール、サードパーティのライブラリ、クラウド サービス、更新プロセスなど、ソフトウェア サプライ チェーンのさまざまなポイントに埋め込まれる可能性があります。これらの悪意のある要素の挿入に成功すると、攻撃者はそれらを使用して、暗号通貨資産やユーザーの機密情報を盗んだり、システム機能を妨害したり、企業を脅迫したり、マルウェアを大規模に拡散したりすることができます。

その一方で、攻撃者はソーシャル エンジニアリング攻撃を通じてユーザーの個人識別情報、アカウント資格情報、パスワード、およびその他の機密情報を取得する可能性があり、攻撃者は、欺瞞的な電子メール、テキスト メッセージ、または電話を使用して、ユーザーを悪意のあるリンクをクリックさせたり、ダウンロードさせたりすることもできます。悪意のあるファイル。ユーザーは、文字、数字、記号を組み合わせた強力なパスワードを使用し、攻撃者がパスワードを推測したり、ソーシャル エンジニアリング技術を使用してパスワードを取得したりする可能性を最小限に抑えるためにパスワードを定期的に変更することをお勧めします。同時に、多要素認証が実装され、追加の認証要素 (SMS 確認コード、指紋認識など) を使用してアカウントのセキュリティが強化され、この種の攻撃に対する防御能力が向上します。

SlowMist セキュリティ チームがリリースした「Web3 プロジェクト セキュリティ実践要件」および「Web3 業界サプライ チェーン セキュリティ ガイド」は、Web3 プロジェクト関係者に総合的なセキュリティ対策に注意を払うよう指導し、思い出させるように設計されています。 SlowMistセキュリティチームが導入したMistEyeセキュリティ監視システムは、契約監視、フロントエンドとバックエンドの監視、脆弱性の発見と早期警告など、あらゆる情報をカバーします。DeFiプロジェクトのプロセス全体のセキュリティに焦点を当てています。イベント前、イベント中、イベント後、プロジェクト関係者は、リスクを制御し、プロジェクトの安全性を向上させるために、MistEye セキュリティ監視システムを使用することができます。