這種影響是廣泛的，Ledger Connect Kit 已被駭客入侵

作者：麗莎， 山， 慢霧安全團隊

根據 SlowMist 安全團隊的情報，日期：2023 年 12 月 14 日晚，Ledger Connect Kit 遭遇供應鏈攻擊，攻擊者至少獲利 60 萬美元。

慢霧安全團隊第一時間介入分析，併發出預警：

目前，事件已正式解決，慢霧安全團隊現分享應急資訊如下：

時間軸

晚上7點43分，Twitter使用者@g4sarah表示，DeFi資產管理協定Zapper的前端被懷疑被劫持。

晚上8：30，Sushi的首席技術官Matthew Lilley在推特上寫道：“在另行通知之前，請不要與任何dApp互動。 一個常用的 Web3 連接器（作為 web3-react 專案一部分的 Java 庫）被懷疑已被入侵，允許注入影響大量 dApp 的惡意代碼。 然後它表示Ledger可能有可疑代碼。 Slowmist安全團隊立即表示正在跟進和分析事件。

晚上8點56分，Revoke.cash在推特上寫道：“與Ledger Connect Kit庫集成的幾個流行的加密應用程式，包括Revoke.cash，已經受到損害。 我們暫時關閉了該網站。 我們建議在此漏洞利用期間不要使用任何加密網站。 隨後，跨鏈DEX專案Kyber Network也表示，在情況變得清晰之前，出於謹慎考慮，它已經禁用了前端UI。

晚上 9：31，Ledger 還發出了提醒：「我們已經識別並刪除了 Ledger Connect 工具包的惡意版本。 正版正在推送以替換惡意檔，暫時不要與任何dApp交互。 如果有新內容，我們會通知您。 您的 Ledger 設備和 Ledger Live 並未受到損害。 」

晚上 9：32，小狐狸錢包還發出了提醒：“在小狐狸錢包投資組合上執行任何交易之前，使用者應確保在小狐狸錢包擴展中啟用了 Blockaid 功能。 」

攻擊影響

SlowMist 安全團隊立即對相關代碼進行了分析，我們發現攻擊者在 @ledgerhq/connect-kit=1.1.5/1.1.6/1.1.7 版本中植入了惡意 JS 代碼，直接將正常的窗口邏輯替換為 Drainer 類，不僅會彈出假的 DrainerPopup 彈窗，還會處理各種資產的傳輸邏輯。 網路釣魚攻擊是通過CDN分發對加密貨幣用戶發起的。

受影響的版本：

@ledgerhq/connect-kit 1.1.5（攻擊者在代碼中提到了Inferno，大概是對Inferno Drainer的“致敬”，Inferno Drainer是一個專門從事多鏈詐騙的網络釣魚團夥）

@ledgerhq/連接套件 1.1.6（攻擊者在代碼中留言並植入惡意 JS 代碼）

@ledgerhq/連接套件 1.1.7（攻擊者在代碼中留言並植入惡意 JS 代碼）

Ledger 表示，Ledger 錢包本身不受影響，集成 Ledger Connect Kit 庫的應用程式也會受到影響。

但是，許多應用程式（例如SushiSwap，Zapper，MetalSwap，Harvest Finance，Revoke.cash等）使用Ledger Connect Kit，並且影響只會很大。

通過這波攻擊，攻擊者可以執行與應用程式具有相同許可權級別的任意代碼。 例如，攻擊者可以在沒有交互的情況下立即耗盡使用者的所有資金，發佈大量網路釣魚連結以引誘使用者上當，甚至在使用者嘗試將資產轉移到新位址時利用使用者的恐慌，但下載了一個假錢包並丟失了資產。

技術戰術分析

我們已經分析了上述攻擊的影響，根據歷史的緊急經驗，推測這可能是一次有預謀的社會工程網路釣魚攻擊。

根據@0xSentry的推文，攻擊者留下了涉及@JunichiSugiura（Jun，前Ledger員工）的Gmail帳戶的數字痕跡，該帳戶可能已被洩露，Ledger忘記刪除對該員工的訪問許可權。

晚上 11 點 09 分，這一猜測得到了官方證實——一名前 Ledger 員工成為網路釣魚攻擊的受害者：

1）攻擊者獲得了對員工NPMJS帳戶的訪問許可權;

2） 攻擊者發佈了惡意版本的 Ledger 連接工具包（1.1.5、1.1.6 和 1.1.7）;

3）攻擊者使用惡意WalletConnect，通過惡意代碼將資金轉移到駭客的錢包位址。

目前，Ledger 已經發佈了經過驗證的正版 Ledger Connect Kit 版本 1.1.8，因此請及時更新。

雖然 Ledger npmjs 的中毒版本已被刪除，但 jsDelivr 上仍有中毒的 js 檔：

請注意，由於 CDN 因素，可能會出現延遲，官方建議在使用 Ledger Connect 工具包之前等待 24 小時。

建議專案組在發佈第三方CDN鏡像源時，一定要記得鎖定相關版本，防止惡意發佈帶來的危害再更新。 （@galenyuan的建議）

目前，相關建議已經被官方接受，相信接下來會改變策略：

萊傑的官方最終時程表：

迷霧跟蹤分析

排水器客戶：0x658729879fca881d9526480b82ae00efc54b5c2d

排水費位址：0x412f10AAd96fD78da6736387e2C84931Ac20313f

根據MistTrack的分析，攻擊者（0x658）至少賺了60萬美元，並與網路釣魚團夥Angel Drainer有關。

Angel Drainer團夥的主要攻擊方式是對域名服務商和員工進行社會工程攻擊，如果您有興趣，可以點擊閱讀黑暗“天使”-Angel Drainer網络釣魚團夥揭秘。

Angel Drainer（0x412）目前持有近363,000美元的資產。

根據SlowMist威脅情報網路，有以下發現：

1）IP 168.*.*.46,185.*.*.167

2）攻擊者已將某些ETH替換為XMR

晚上 11：09，Tether 凍結了 Ledger 漏洞利用者的位址。 此外，MistTrack已封鎖相關位址，並將繼續監控資金流動。

總結

這一事件再次證明，DeFi安全不僅關乎合約安全，更關乎安全性。

一方面，這一事件說明了供應鏈安全漏洞可能產生的嚴重後果。 惡意軟體和惡意代碼可以植入軟體供應鏈的不同點，包括開發工具、第三方庫、雲服務和更新流程。 一旦成功注入這些惡意元素，攻擊者就可以使用它們來竊取加密貨幣資產和敏感使用者資訊、破壞系統功能、勒索業務或大規模傳播惡意軟體。

另一方面，攻擊者可以通過社會工程攻擊獲取使用者的個人身份資訊、帳號憑據、密碼等敏感資訊，也可以利用欺騙性郵件、簡訊、電話等方式引誘使用者點擊惡意連結或下載惡意檔。 建議使用者使用強密碼，包括字母、數位和符號的組合，並定期更改密碼，以盡量減少攻擊者猜測或使用社會工程技巧獲取密碼的機會。 同時，實施多因素身份驗證，通過使用額外的身份驗證因素（如簡訊驗證碼、指紋識別等）來提高對此類攻擊的防護，從而提高帳戶的安全性。