Raporun tarihi: 2023-12-20
Olayın tarihi: 2023-12-14
Tespit Edilen Olayın Türü: Yetkisiz Erişim ve Kötü Amaçlı Kod
Yönetici Özeti
Ledger, 14 Aralık 2023 Perşembe günü Ledger Connect Kit'i kullanarak bir istismar tespit etti. Bu istismar, Ledger Connect Kit'i kullanan DApp'lerin içine kötü amaçlı kod enjekte ederek EVM DApp kullanıcılarını cüzdanlarını tüketen işlemleri imzalamaya kandırdı. Kötüye kullanım hızla fark edildi ve kısa bir süre sonra bir çözüm uygulandı. Bu arada az sayıda kullanıcı da saldırıya uğradı ve cüzdanlarını tüketen işlemlere imza attı.
Tarihçesi
Zaman çizelgesi saatleri, Orta Avrupa Saati (CET) saat dilimi kullanılarak ayrıntılı olarak verilmiştir:
2023-12-14: Sabah: Eski bir Defter Çalışanı, kişinin oturum belirtecini kullanarak 2FA'yı atlayarak NPMJS hesabına erişim sağlayan karmaşık bir kimlik avı saldırısının kurbanı oldu.
2023-12-14 – 09:49 / 10:44 / 11:37: Saldırgan, Ledger Connect Kit'in kötü amaçlı bir sürümü olan (1.1.5, 1.1.6 ve 1.1.7 sürümlerini etkileyen) NPMJS'de (uygulamalar arasında paylaşılan Javascript kodu için bir paket yöneticisi) yayın yaptı. Kötü amaçlı kod, varlıkları bilgisayar korsanlarının cüzdanlarına yeniden yönlendirmek için hileli bir WalletConnect projesi kullandı.
2023: 12: Ledger ekibine ulaşan ve X ile ilgili güncellemeleri paylaşan Blockaid de dahil olmak üzere ekosistemdeki farklı aktörlerin hızlı tepkisi sayesinde Ledger, devam eden saldırıdan haberdar oldu.
2023: 12: Ledger'in teknoloji ve güvenlik ekipleri saldırı konusunda uyarıldı ve Ledger'in farkına varmasından sonraki 40 dakika içinde Ledger ekipleri tarafından Ledger Connect Kit düzeltmesinin orijinal bir sürümü dağıtıldı. CDN'nin (İçerik Dağıtım Ağı) doğası ve İnternet'teki önbellekleme mekanizmaları nedeniyle, kötü amaçlı dosya bir süre daha erişilebilir durumda kaldı. NPMJS'nin tehlikeye girmesinden tam çözümüne kadar yaklaşık 5 saat geçti. Kötü amaçlı kodun bu genişletilmiş kullanılabilirliği, CDN'nin önbelleklerini dosyanın en yeni, orijinal sürümüyle küresel olarak yayması ve güncellemesi için harcanan zamanın bir sonucuydu. Dosyanın beş saatlik varlığına rağmen, araştırmamızdan kullanıcı varlıklarının aktif olarak boşaltıldığı pencerenin toplamda iki saatten daha kısa bir süre ile sınırlı olduğunu tahmin ediyoruz.
Ledger, kullanıcıların varlıklarını boşaltmak için kullanılan hileli WalletConnect örneğini devre dışı bırakan ortağımız WalletConnect ile hızlı bir şekilde koordinasyon sağladı.
2023: 12 Koordinasyonumuz üzerine Tether, saldırganın/saldırganların USDT'sini dondurdu (bkz. TX).
Kök Neden Analizi, Bulgular ve Önleyici Tedbirler
bağlam
Defteri kebir Bağlantı Kiti geliştiricilerin DApp'lerini Ledger donanımına bağlamasına olanak tanıyan bir Java Script açık kaynak kitaplığıdır. kullanılarak entegre edilebilir. Connect-Kit-yükleyici Bir DApp'in Connect-Kit'i çalışma zamanında bir CDN'den yüklemesine olanak tanıyan bileşen. Bu, DApp geliştiricilerinin her zaman uygulamanın en son sürümüne sahip olmalarını sağlar. Bağlantı Kiti Paket sürümlerini manuel olarak güncellemeye ve yeni yapılar yayınlamaya gerek kalmadan. Ledger'ın dağıtım için kullandığı CDN NPMJS'dir. Çoğu DApp, Bağlantı Kiti bahsedilen Connect-Kit-loader'ı kullanarak.
Ledger Connect Kit istismarında saldırganın hiçbir zaman herhangi bir Ledger altyapısına, Ledger kod deposuna veya DApp'lerin kendisine erişimi yoktu. Saldırgan, Connect-Kit'in yerine CDN'ye kötü amaçlı bir kod paketi göndermeyi başardı. Bu kötü amaçlı Connect-Kit kodu daha sonra Connect-Kit yükleyiciyi zaten entegre eden DApp'ler tarafından dinamik olarak yüklendi.
Ledger Connect Kit'in istismarı, Ledger ve sektörün kullanıcıları korumak için toplu olarak karşı karşıya kaldığı riskleri vurguluyor ve aynı zamanda kullanıcıların tarayıcı tabanlı imzalamayla meşgul olacağı DApp'ler çevresinde güvenlik için çıtayı hep birlikte yükseltmeye devam etmemiz gerektiğini de hatırlatıyor. Bu kez Ledger'ın hizmeti istismar edildi ancak gelecekte bu durum başka bir hizmetin veya kütüphanenin başına da gelebilir.
Ana neden
Saldırgan, kötü amaçlı kod paketini NPMJS'ye aktarabilmek için, kişinin NPMJS'ye erişiminden yararlanmak amacıyla eski bir çalışana kimlik avı yaptı. Eski çalışanın Ledger sistemlerine (Github, SSO tabanlı hizmetler, tüm dahili Ledger araçları ve harici araçlar dahil) erişimi uygun şekilde iptal edildi, ancak ne yazık ki eski çalışanların NPMJS'ye erişimi uygun şekilde iptal edilmedi.
Bunun talihsiz, münferit bir olay olduğunu doğrulayabiliriz. Ledger çalışanlarının Ledger altyapısına erişimleri, çalışanların işten ayrılması sırasında otomatik olarak iptal edilir, ancak mevcut teknoloji hizmetlerinin ve araçlarının şu anda küresel olarak işleyişi nedeniyle, belirli harici araçlara (NPMJS dahil) erişimi otomatik olarak iptal edemiyoruz ve bunların manuel olarak ele alınması gerekiyor. Her birey için çalışan işten çıkarma kontrol listesi. Ledger'ın, ayrılan çalışanları tüm harici araçlardan çıkardığımız mevcut ve düzenli olarak güncellenen bir işten çıkarma prosedürü vardır. Bu münferit durumda, NPMJS'de erişim manuel olarak iptal edilmedi; üzgünüz ve harici bir üçüncü taraf ortakla denetlemekteyiz.
Bu, saldırganın gerçekleştirdiği karmaşık bir saldırıydı. Saldırgan, normalde birçok girişimi caydıracak olan NPMJS hedefli hesapta iki faktörlü kimlik doğrulamayı (2FA) zorunlu kılmasına rağmen, eski çalışanın hesabıyla ilişkili bir API anahtarını kullanarak bu güvenlik önlemini atlattı.
Bu özel saldırı, saldırganın, Angel Drainer kötü amaçlı yazılımı olarak adlandırılan kötü amaçlı yazılımı içeren Ledger Connect Kit'in yeni bir kötü amaçlı sürümünü yüklemesine olanak sağladı. Angel Drainer, imzalandığında cüzdanları tüketen kötü amaçlı işlemler oluşturmak için özel olarak tasarlanmış bir hizmet olarak kötü amaçlı yazılımdır. Hasarı en üst düzeye çıkarmak için talep üzerine akıllı sözleşmeler uygulayan ve özel işlemler üreten EVM zincirleri üzerinde uzmanlaşmış eksiksiz bir altyapıdır.
Ne yazık ki, NPMJS.com otomatik için çoklu yetkilendirmeye veya imza doğrulamasına izin vermez yayınlamak. Dağıtım aşamasında daha fazla kontrol uygulayan özel mekanizmalar eklemeye çalışıyoruz.
Bulgular
Bu, deneyimli saldırgan(lar) tarafından gerçekleştirilen, iyi hazırlanmış bir saldırıydı. Uygulanan kimlik avı tekniği, ekosistemi etkileyen çoğu Ön Uç saldırısında gördüğümüz gibi kimlik bilgilerine odaklanmadı, bunun yerine saldırgan doğrudan oturum belirteci üzerinde çalıştı.
Kullanılan kötü amaçlı yazılım Angel Drainer'dı ve Ledger güvenlik ekibi son üç ayda bu kötü amaçlı yazılımı kullanan suç faaliyetlerinde bir artış gördü (lütfen yayınlanan bu belgeye bakın). Blokaj raporu). Ayrıca çalınan fonların zincir üzerinde bölündüğünü de görebiliyoruz: %85'i istismarcıya ve %15'i bir hizmet olarak kötü amaçlı yazılım olarak görülebilecek Angel Drainer'a.
Bu Angel Drainer, halihazırda hedeflediği varlığın türüne bağlı olarak kullanıcıları farklı türdeki işlemleri imzalamaları için kandırıyor. ERC20 ve NFT tokenleri için kullanıcıların imza atmasını ister onay ve izin vermek mesajlar. Yerel tokenler için, süzgeç kullanıcıdan sahte bir "talep" işlemi imzalamasını ister; iddia yöntem basitçe fonları veya daha sonra ilgili adrese bir akıllı sözleşme dağıtılarak süpürülebilecek basit token transferlerini süpürür.
Bu nedenle Clear Signing'i sektör olarak teşvik etmeye devam ediyoruz, böylece kullanıcılar Ledger donanım cihazlarındaki güvenilir bir ekranda gördüklerini doğrulayabilirler.
İyileştirici eylemler
Ledger yönetim ekibi de dahil olmak üzere Ledger güvenlik ve teknoloji ekipleri şu anda, kullandığımız Ledger iç ve dış araçları ve sistemleri üzerindeki tüm erişim kontrollerimizi inceliyor ve denetliyor.
Ledger, kod incelemesi, dağıtım, dağıtım ve erişim kontrolleri söz konusu olduğunda, tüm harici araçların bakım ve kullanım dışı kontrollerimize eklenmesi de dahil olmak üzere politikalarını güçlendirecek. Gerektiğinde kod imzalamayı genelleştirmeye devam edeceğiz. Ayrıca bunun doğru bir şekilde uygulandığından emin olmak için düzenli aralıklarla iç denetimler gerçekleştiriyoruz.
Ledger halihazırda kimlik avı eğitimi de dahil olmak üzere güvenlik eğitim oturumları düzenliyor. İç güvenlik eğitim programı da 2024 yılı başında ilgili departmanlardaki tüm çalışanlara yönelik olarak güçlendirilecektir. Ledger halihazırda düzenli olarak üçüncü taraf güvenlik değerlendirmeleri düzenliyor ve bu değerlendirmelere öncelik vermeye devam edecek.
2024'ün başlarında erişim kontrolü, kod tanıtımı ve dağıtımına odaklanan özel bir üçüncü taraf denetimi gerçekleştirilecek.
Ayrıca gelecekteki olayları daha hızlı tespit edip tepki verebilmek için altyapı izleme ve uyarı sistemlerimizi güçlendireceğiz.
Son olarak, Kör İmzalamayı önleme konusunu iki katına çıkaracağız, Ledger kullanıcılarının en üst düzeyde güvenlik uygulamalarını sağlamak için bunu bir seçenek olarak kaldıracağız ve kullanıcıları, güvenli bir ekran olmadan veya kullanmayarak neyi imzaladıklarını anlamadan işlemleri imzalamanın potansiyel etkisi konusunda eğiteceğiz. İmzalamayı Temizle.
İstismarın tanımlanması ve çözülmesi konusunda Ledger ekipleriyle hızlı bir şekilde çalıştıkları için ekosistemdeki ortaklarımıza bir kez daha teşekkür ediyoruz.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.ledger.com/blog/security-incident-report
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- 09
- 1
- 10
- 11
- %15
- 2023
- 2024
- 26
- 2FA
- 40
- 51
- 53
- 7
- a
- Yapabilmek
- erişim
- ulaşılabilir
- Hesap
- aktif
- faaliyetler
- aktörler
- Ad
- ekleme
- ilave
- Ayrıca
- adres
- etkileyen
- Sonra
- tekrar
- Türkiye
- izin vermek
- Izin
- veriyor
- zaten
- Ayrıca
- her zaman
- an
- analiz
- ve
- melek
- Başka
- herhangi
- api
- yaklaşık olarak
- uygulamalar
- ARE
- etrafında
- AS
- değerlendirmeler
- varlık
- Varlıklar
- ilişkili
- At
- saldırı
- saldırılar
- Denemeler
- denetim
- denetleme
- denetimler
- Doğrulama
- otomatik olarak
- kullanılabilirliği
- farkında
- bar
- merkezli
- BE
- olma
- olmak
- arasında
- kör
- kısaca
- inşa
- fakat
- by
- CAN
- yapamam
- dava
- Sebeb olmak
- merkezi
- belli
- zincirler
- Çekler
- açık
- kod
- Kod incelemesi
- toplu olarak
- geliyor
- tamamlamak
- bileşen
- yürütülen
- iletken
- Onaylamak
- Sosyal medya
- içerdiği
- içerik
- devam etmek
- sözleşme
- sözleşmeleri
- kontrol
- kontroller
- koordine
- koordinasyon
- uyan
- olabilir
- zanaat
- Tanıtım
- Ceza
- akım
- Şu anda
- hasar
- Dapp
- DApp geliştiricileri
- DApps
- Aralık
- teslim
- Talep
- bölümler
- bağlı
- konuşlandırılmış
- dağıtma
- açılma
- dağıtır
- tasarlanmış
- Rağmen
- detaylı
- belirlemek
- algılandı
- geliştiriciler
- cihaz
- DID
- farklı
- direkt olarak
- özürlü
- ekran
- dağıtım
- yok
- çift
- aşağı
- akıtmak
- tükenmiş
- gereken
- sırasında
- dinamik
- her
- Erken
- ekosistem
- eğitmek
- ya
- Işçi
- çalışanların
- etkin
- teşvik etmek
- zorlama
- meşgul
- sağlamak
- Ethereum
- tahmin
- Eter (ETH)
- Avrupa
- Hatta
- EVM
- infaz
- yürütme
- mevcut
- deneyimli
- sömürmek
- sömürülen
- genişletilmiş
- dış
- Yüz
- sahte
- Daha hızlı
- fileto
- bulgular
- beş
- sabit
- odak
- odaklanmış
- İçin
- Eski
- itibaren
- para
- çalınan fonlar
- daha fazla
- gelecek
- kazandı
- gerçek
- GitHub
- Küresel
- olmak
- donanım
- donanım aygıtı
- Var
- sahip olan
- özeti
- saat
- SAAT
- Ne kadar
- Ancak
- http
- HTTPS
- belirlenmesi
- darbe
- uygulanan
- in
- olay
- olaylar
- dahil
- Dahil olmak üzere
- Artırmak
- bireysel
- sanayi
- Altyapı
- içeride
- örnek
- yerine
- entegre
- entegre
- iç
- Internet
- içine
- soruşturma
- yalıtılmış
- IT
- ONUN
- kendisi
- Java
- JavaScript
- anahtar
- malzeme
- sonra
- son
- Defteri kebir
- az
- Kaldıraç
- Kütüphane
- küçük
- yük
- uzun
- Düşük
- yapılmış
- bakım
- yapmak
- kötü amaçlı yazılım
- müdür
- el ile
- çok
- maksimum genişlik
- Maksimuma çıkarmak
- bu arada
- ölçmek
- mekanizmaları
- adı geçen
- mesajları
- dakika
- izleme
- ay
- sabah
- çoğu
- şart
- yerli
- Tabiat
- gerek
- ağ
- yeni
- NFT
- nft belirteçleri
- normalde
- of
- on
- Zincir Üzerinde
- devam
- açık
- açık kaynak
- işletmek
- seçenek
- or
- sipariş
- davranışlarıyla
- bizim
- dışarı
- paket
- Partner
- ortaklar
- Parti
- geçti
- geçmiş
- Kimlik avı
- Kimlik avı saldırısı
- yer
- Platon
- Plato Veri Zekası
- PlatoVeri
- Lütfen
- pm
- politikaları
- potansiyel
- uygulamalar
- hazırlanmış
- varlık
- önlenmesi
- Öncelik
- prosedür
- Programı
- proje
- tanıtım
- uygun şekilde
- korumak
- yayınlanan
- Itmek
- hızla
- yükseltmek
- ulaştı
- React
- tepki
- son
- tekrarlayan
- başvurmak
- Referans
- pişmanlık
- düzenli
- düzenli
- güçlendirmek
- serbest
- uygun
- kalmıştır
- hatırlatma
- Kaldır
- kaldırma
- rapor
- Depo
- isteklerinizi
- çözüm
- çözme
- bu
- sonuç
- yorum
- gözden
- riskler
- s
- senaryo
- güvenli
- güvenlik
- görmek
- görüldü
- hizmet
- Hizmetler
- Oturum
- oturumları
- Paylaşılan
- işaret
- imza
- imzalı
- imza
- Basit
- sadece
- akıllı
- akıllı sözleşme
- Akıllı Sözleşmeler
- So
- sofistike
- Kaynak
- özel
- özel
- özellikle
- bölmek
- Aşama
- başlama
- çalıntı
- elbette
- hızla
- Sistemler
- ısmarlama
- alınan
- Hedeflenen
- hedefleme
- takım
- takım
- teknik
- Teknoloji
- Tether
- göre
- teşekkür
- Teşekkürler
- o
- The
- Gelecek
- ve bazı Asya
- kendilerini
- sonra
- Bunlar
- onlar
- Üçüncü
- Re-Tweet
- üç
- Perşembe
- zaman
- için
- simge
- Jeton
- araçlar
- Toplam
- Eğitim
- işlem
- işlemler
- transferler
- Güvenilir
- iki
- tip
- türleri
- anlayış
- şanssız
- ne yazık ki
- Güncelleme
- Güncellemeler
- USDT
- kullanım
- Kullanılmış
- kullanıcı
- kullanıcılar
- kullanma
- son derece
- Doğrulama
- doğrulamak
- versiyon
- Kurban
- hacim
- Cüzdan
- Cüzdan
- oldu
- we
- İYİ
- vardı
- Ne
- Nedir
- ne zaman
- hangi
- DSÖ
- neden
- irade
- pencere
- ile
- içinde
- olmadan
- işlenmiş
- çalışma
- olur
- X
- zefirnet