Децентрализованные цифровые финансовые активы, в простонародье именуемые криптовалютами, прочно обосновались в обществе, изначально будучи игрушкой гиков, но со временем став популярными.
Данный факт неминуемо повлек за собой привлечение внимания людей, далеких от информационных технологий, но при этом желающих сколотить капитал. За ними, разумеется, потянулись различные стартапы, предлагающие инструменты для хранения и управления криптовалютами.
Включая небезызвестную компанию Ledger, которая наводнила рынок довольно удобными физическими криптокошельками. В дополнение к ним также была предложена библиотека Ledger Connect Kit из официального NPM-репозитория, позволяющая получать доступ к устройствам из децентрализованных Web-приложений.
На днях хакеры провели взлом инфраструктуры Legder, воспользовавшись учетной записью одного из бывших сотрудников фирмы. Выудить информацию удалось путем фишинг-атаки. Успеху способствовало неиспользование двухфакторной аутентификации, оставление прав доступа у уволенных сотрудников, а также практика задействования в сторонних приложениях последней версии библиотеки.
Брешь оставалась открытой около 5 часов, но, фактически, у злоумышленники могли оперировать средствами только в течение 2-х. Впрочем, по данным сервиса Revoke.cash, этого оказалось достаточно для похищения из кошельков инвесторов около 850 тысяч долларов.
После инцидента Ledger перевела в режим чтения учетные записи принимавших участие в проекте Ledger Connect Kit, запретила внесение изменений в NPM-репозиторий и обновила ключи для публикаций на Github.