El impacto es generalizado y el kit Ledger Connect ha sido hackeado

Por Lisa, Montaña, Equipo de Seguridad de Niebla Lenta

Según la inteligencia del equipo de seguridad de SlowMist, en la noche del 14 de diciembre de 2023, hora de Pekín, el kit Ledger Connect sufrió un ataque a la cadena de suministro y los atacantes obtuvieron un beneficio de al menos 600.000 dólares.

El equipo de seguridad de Slow Mist intervino en el análisis lo antes posible y emitió una alerta temprana:

En la actualidad, el incidente se ha resuelto oficialmente y el equipo de seguridad de Slow Mist ahora comparte la información de emergencia de la siguiente manera:

Cronología

A las 7:43 p.m., el usuario de Twitter @g4sarah dijo que se sospechaba que la interfaz del protocolo de gestión de activos DeFi Zapper había sido secuestrada.

A las 8:30 p.m., el CTO de Sushi, Matthew Lilley, tuiteó: "Por favor, no interactúe con ninguna dApp hasta nuevo aviso. Se sospecha que un conector Web3 de uso común (una biblioteca Java que forma parte del proyecto web3-react) se ha visto comprometido, lo que permite la inyección de código malicioso que afecta a numerosas dApps. Luego declaró que Ledger podría tener un código sospechoso. El equipo de seguridad de Slowmist declaró inmediatamente que estaba haciendo un seguimiento y analizando el incidente.

A las 8:56 p. m., Revoke.cash tuiteó: "Varias aplicaciones criptográficas populares integradas con la biblioteca Ledger Connect Kit, incluida Revoke.cash, se han visto comprometidas. Hemos cerrado temporalmente el sitio. Recomendamos no utilizar ningún sitio web encriptado durante este exploit. Posteriormente, Kyber Network, un proyecto DEX de cadena cruzada, también dijo que había deshabilitado la interfaz de usuario del front-end por precaución hasta que la situación se aclarara.

A las 9:31 p. m., Ledger también emitió un recordatorio: "Hemos identificado y eliminado una versión maliciosa del kit Ledger Connect. Se están impulsando versiones genuinas para reemplazar archivos maliciosos, no interactúe con ninguna dApps todavía. Te avisaremos si hay algo nuevo. Tu dispositivo Ledger y Ledger Live no se han visto comprometidos. 」

A las 9:32 p.m., MetaMask también emitió un recordatorio: "Los usuarios deben asegurarse de que la función Blockaid esté habilitada en la extensión MetaMask antes de ejecutar cualquier transacción en la cartera de MetaMask. 」

Impacto del ataque

El equipo de seguridad de SlowMist analizó inmediatamente el código relevante y descubrimos que el atacante implantó código JS malicioso en la versión @ledgerhq/connect-kit=1.1.5/1.1.6/1.1.7, y reemplazó directamente la lógica normal de la ventana con la clase Drainer, que no solo mostraría una ventana emergente DrainerPopup falsa, sino que también procesaría la lógica de transferencia de varios activos. Los ataques de phishing se lanzan contra los usuarios de criptomonedas a través de la distribución de CDN.

Versiones afectadas:

@ledgerhq/connect-kit 1.1.5 (El atacante menciona a Inferno en el código, presumiblemente como un “guiño” a Inferno Drainer, una banda de phishing especializada en estafas multicadena)

@ledgerhq/connect-kit 1.1.6 (El atacante deja un mensaje en el código e implanta código JS malicioso)

@ledgerhq/connect-kit 1.1.7 ( El atacante deja un mensaje en el código e implanta código JS malicioso )

Ledger dice que la billetera Ledger en sí no se ve afectada, y que las aplicaciones que integran la biblioteca Ledger Connect Kit se ven afectadas.

Sin embargo, muchas aplicaciones (como SushiSwap, Zapper, MetalSwap, Harvest Finance, Revoke.cash, etc.) utilizan el kit Ledger Connect, y el impacto será grande.

Con esta ola de ataques, un atacante puede ejecutar código arbitrario que tiene el mismo nivel de privilegios que la aplicación. Por ejemplo, un atacante puede drenar instantáneamente todos los fondos de un usuario sin interacción, publicar una gran cantidad de enlaces de phishing para atraer a los usuarios para que caigan en la trampa, o incluso aprovechar el pánico del usuario cuando el usuario intenta transferir activos a una nueva dirección, pero descarga una billetera falsa y pierde los activos.

Análisis de tácticas técnicas

Hemos analizado el impacto del ataque anterior y, basándonos en la experiencia histórica de emergencia, se especula que puede haber sido un ataque de phishing de ingeniería social premeditado.

Según el tuit de @0xSentry, los atacantes dejaron un rastro digital que involucraba la cuenta de Gmail de @JunichiSugiura (Jun, un ex empleado de Ledger), que puede haber sido comprometida, y Ledger se olvidó de eliminar el acceso al empleado.

A las 11:09 p.m., la especulación se confirmó oficialmente: un ex empleado de Ledger fue víctima de un ataque de phishing:

1. El atacante obtuvo acceso a la cuenta NPMJS del empleado;

2. el atacante lanzó versiones maliciosas del kit Ledger Connect (1.1.5, 1.1.6 y 1.1.7);

3. El atacante utiliza WalletConnect malicioso para transferir fondos a la dirección de la billetera del pirata informático a través de un código malicioso.

Actualmente, Ledger ha lanzado la versión 1.1.8 de Ledger Connect Kit, verificada y genuina, así que actualízala de manera oportuna.

Aunque se ha eliminado la versión envenenada de Ledger npmjs, todavía hay archivos js envenenados en jsDelivr:

Ten en cuenta que, debido a factores de CDN, puede haber latencia, por lo que se recomienda oficialmente esperar 24 horas antes de usar el kit Ledger Connect.

Se recomienda que cuando el equipo del proyecto publique una fuente de imagen de CDN de terceros, recuerde bloquear la versión pertinente para evitar el daño causado por la liberación malintencionada y, a continuación, actualizarla. (Sugerencia de @galenyuan)

En la actualidad, las sugerencias pertinentes han sido aceptadas por el funcionario, y se cree que la estrategia se cambiará a continuación:

El cronograma final oficial de Ledger:

Análisis de MistTrack

Cliente del escurridor: 0x658729879fca881d9526480b82ae00efc54b5c2d

Dirección de la tarifa de drenaje: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

Según el análisis de MistTrack, el atacante (0x658) ganó al menos 600.000 dólares y estaba asociado con la banda de phishing Angel Drainer.

El principal método de ataque de la pandilla Angel Drainer es llevar a cabo ataques de ingeniería social contra los proveedores de servicios de nombres de dominio y el personal, si está interesado, puede hacer clic para leer el oscuro “ángel”: se reveló la pandilla de phishing Angel Drainer.

Angel Drainer (0x412) actualmente tiene casi $363,000 en activos.

Según la Red de Inteligencia de Amenazas de SlowMist, existen los siguientes hallazgos:

1. IP 168.*.*.46,185.*.*.167

2. El atacante ha sustituido algunos ETH por XMR

A las 11:09 p.m., Tether congeló la dirección del explotador de Ledger. Además, MistTrack ha bloqueado las direcciones relevantes y continuará monitoreando el movimiento de fondos.

Resumen

Este incidente demuestra una vez más que la seguridad de DeFi no se trata solo de la seguridad de los contratos, sino también de la seguridad.

Por un lado, este incidente ilustra las graves consecuencias que puede tener una brecha de seguridad en la cadena de suministro. El malware y el código malicioso se pueden plantar en diferentes puntos de la cadena de suministro de software, incluidas las herramientas de desarrollo, las bibliotecas de terceros, los servicios en la nube y los procesos de actualización. Una vez que estos elementos maliciosos se inyectan con éxito, los atacantes pueden usarlos para robar activos de criptomonedas e información confidencial de los usuarios, interrumpir la funcionalidad del sistema, extorsionar a las empresas o propagar malware a gran escala.

Por otro lado, los atacantes pueden obtener información confidencial, como información de identificación personal de los usuarios, credenciales de cuentas y contraseñas, a través de ataques de ingeniería social, y también pueden usar correos electrónicos, mensajes de texto o llamadas telefónicas falsificados para atraer a los usuarios para que hagan clic en enlaces maliciosos o descarguen archivos maliciosos. Se aconseja a los usuarios que utilicen contraseñas seguras, que incluyan una combinación de letras, números y símbolos, y que cambien las contraseñas con regularidad para minimizar las posibilidades de que los atacantes adivinen o utilicen trucos de ingeniería social para hacerse con las contraseñas. Al mismo tiempo, se implementa la autenticación multifactor para aumentar la seguridad de la cuenta mediante el uso de factores de autenticación adicionales (como el código de verificación por SMS, el reconocimiento de huellas dactilares, etc.) para mejorar la protección contra este tipo de ataques.