Ngày báo cáo: 2023-12-20

Ngày xảy ra sự việc: 2023-12-14

Loại sự cố được phát hiện: Truy cập trái phép & Mã độc hại

Báo cáo tóm tắt

Ledger đã phát hiện một lỗ hổng sử dụng Ledger Connect Kit vào thứ Năm, ngày 14 tháng 2023 năm XNUMX. Lỗ hổng này đã chèn mã độc vào bên trong các DApp đang sử dụng Ledger Connect Kit, lừa người dùng EVM DApp ký các giao dịch làm tiêu hao ví của họ. Việc khai thác nhanh chóng được phát hiện và giải pháp được triển khai ngay sau đó. Trong khi đó, một lượng nhỏ người dùng đã rơi vào cuộc tấn công và ký các giao dịch làm cạn kiệt ví của họ.

Lịch Trình Sự Kiện 

Giờ của dòng thời gian được trình bày chi tiết bằng cách sử dụng múi giờ Giờ Trung Âu (CET):

2023-12-14: Sáng: Một cựu Nhân viên sổ cái đã trở thành nạn nhân của một cuộc tấn công lừa đảo tinh vi nhằm giành được quyền truy cập vào tài khoản NPMJS của họ, vượt qua 2FA bằng cách sử dụng mã thông báo phiên của cá nhân.

2023-12-14 – 09:49 sáng / 10:44 sáng / 11:37 sáng: Kẻ tấn công đã xuất bản trên NPMJS (trình quản lý gói mã Javascript được chia sẻ giữa các ứng dụng), một phiên bản độc hại của Ledger Connect Kit (ảnh hưởng đến các phiên bản 1.1.5, 1.1.6 và 1.1.7). Mã độc đã sử dụng dự án WalletConnect lừa đảo để định tuyến lại tài sản đến ví của tin tặc.

2023-12-14: 1.45PM: Ledger đã biết về cuộc tấn công đang diễn ra nhờ phản ứng kịp thời của các tác nhân khác nhau trong hệ sinh thái, bao gồm cả Blockaid, người đã liên hệ với nhóm Ledger và chia sẻ thông tin cập nhật về X.

2023-12-14: 2.18PM: Các nhóm công nghệ và bảo mật của Ledger đã được cảnh báo về cuộc tấn công và một phiên bản sửa lỗi Ledger Connect Kit chính hãng đã được các nhóm Ledger triển khai trong vòng 40 phút kể từ khi Ledger biết được. Do tính chất của CDN (Mạng phân phối nội dung) và cơ chế lưu vào bộ nhớ đệm trên Internet, tệp độc hại vẫn có thể truy cập được lâu hơn một chút. Từ khi NPMJS bị xâm phạm đến khi có giải pháp hoàn chỉnh, đã khoảng 5 giờ trôi qua. Tính khả dụng mở rộng của mã độc hại này là kết quả của việc CDN mất nhiều thời gian để truyền bá và cập nhật bộ đệm của nó trên toàn cầu với phiên bản chính hãng, mới nhất của tệp. Bất chấp sự tồn tại của tệp này trong XNUMX giờ, chúng tôi ước tính từ cuộc điều tra của mình rằng khoảng thời gian mà tài sản của người dùng bị tiêu hao tích cực tổng cộng chỉ giới hạn trong chưa đầy XNUMX giờ.

Ledger đã phối hợp nhanh chóng với đối tác WalletConnect của chúng tôi, người đã vô hiệu hóa phiên bản WalletConnect lừa đảo được sử dụng để rút tài sản khỏi người dùng.

2023-12-14: 2.55 giờ XNUMX chiều Dựa trên sự phối hợp của chúng tôi, Tether đã đóng băng USDT của (những) kẻ tấn công (cf. TX).

Phân tích nguyên nhân gốc rễ, phát hiện và biện pháp phòng ngừa

Bối cảnh

Ledger Bộ kết nối là thư viện mã nguồn mở Java Script cho phép các nhà phát triển kết nối DApp của họ với phần cứng Ledger. Nó có thể được tích hợp bằng cách sử dụng Trình tải kết nối-Kit thành phần cho phép DApp tải Connect-Kit trong thời gian chạy từ CDN. Điều này cho phép các nhà phát triển DApp luôn có phiên bản mới nhất của Bộ kết nối mà không cần phải cập nhật thủ công các phiên bản gói và phát hành bản dựng mới. CDN được Ledger sử dụng để phân phối là NPMJS. Hầu hết các DApp đã tích hợp Bộ kết nối bằng cách sử dụng trình tải Connect-Kit đã đề cập. 

Trong lần khai thác Ledger Connect Kit, kẻ tấn công không có quyền truy cập vào bất kỳ cơ sở hạ tầng Ledger, kho lưu trữ mã Ledger hoặc chính DApps nào. Kẻ tấn công đã có thể đẩy gói mã độc hại vào CDN thay cho chính Connect-Kit. Mã Connect-Kit độc hại này sau đó được tải động bởi các DApp đã tích hợp trình tải Connect-Kit. 

Việc khai thác Ledger Connect Kit nêu bật những rủi ro mà Ledger và ngành phải đối mặt để bảo vệ người dùng, đồng thời đó cũng là một lời nhắc nhở rằng chúng ta cần tiếp tục nâng cao tiêu chuẩn bảo mật xung quanh DApp nơi người dùng sẽ tham gia ký kết dựa trên trình duyệt. Lần này chính dịch vụ của Ledger đã bị khai thác nhưng trong tương lai điều này có thể xảy ra với một dịch vụ hoặc thư viện khác.

Nguyên nhân gốc rễ

Để có thể đẩy gói mã độc trên NPMJS, kẻ tấn công đã lừa đảo một nhân viên cũ để lợi dụng quyền truy cập của cá nhân đó vào NPMJS. Quyền truy cập của nhân viên cũ vào hệ thống của Ledger (bao gồm Github, các dịch vụ dựa trên SSO, tất cả các công cụ Sổ cái nội bộ và công cụ bên ngoài) đã bị thu hồi đúng cách, nhưng rất tiếc quyền truy cập của nhân viên cũ vào NPMJS đã không bị thu hồi đúng cách. 

Chúng tôi có thể xác nhận đây là một sự cố cá biệt đáng tiếc. Tuy nhiên, quyền truy cập vào cơ sở hạ tầng Ledger của nhân viên Ledger sẽ tự động bị thu hồi trong quá trình nhân viên nghỉ việc, tuy nhiên, do cách các dịch vụ và công cụ công nghệ hiện tại hoạt động trên toàn cầu, chúng tôi không thể tự động thu hồi quyền truy cập vào một số công cụ bên ngoài nhất định (bao gồm NPMJS) và những quyền này phải được xử lý thủ công bằng một danh sách kiểm tra nhân viên rời khỏi công ty cho từng cá nhân. Sổ cái có quy trình rời khỏi công ty hiện có và được cập nhật thường xuyên, trong đó chúng tôi loại bỏ nhân viên sắp rời khỏi tất cả các công cụ bên ngoài. Trong trường hợp riêng lẻ này, quyền truy cập không bị thu hồi theo cách thủ công trên NPMJS, điều mà chúng tôi rất tiếc và đang kiểm tra với đối tác bên thứ ba bên ngoài. 

Đây là một cuộc tấn công tinh vi được thực hiện bởi kẻ tấn công. Mặc dù đã thực thi xác thực hai yếu tố (2FA) trên tài khoản được nhắm mục tiêu NPMJS, điều này thường ngăn cản nhiều nỗ lực, nhưng kẻ tấn công đã phá vỡ biện pháp bảo mật này bằng cách khai thác khóa API được liên kết với tài khoản của nhân viên cũ. 

Cuộc tấn công cụ thể này đã cho phép kẻ tấn công tải lên một phiên bản độc hại mới của Ledger Connect Kit chứa thứ được gọi là phần mềm độc hại Angel Drainer. Angel Drainer là một phần mềm độc hại dưới dạng dịch vụ được thiết kế đặc biệt để thực hiện các giao dịch độc hại làm cạn kiệt ví khi ký kết. Đó là một cơ sở hạ tầng hoàn chỉnh chuyên về chuỗi EVM triển khai các hợp đồng thông minh theo yêu cầu và tạo ra các giao dịch phù hợp để tối đa hóa thiệt hại.

Thật không may, NPMJS.com không cho phép xác minh đa ủy quyền hoặc chữ ký để tự động xuất bản. Chúng tôi đang nỗ lực bổ sung các cơ chế đặc biệt để thực thi các biện pháp kiểm soát sâu hơn ở giai đoạn triển khai.

Những phát hiện

Đây là một cuộc tấn công được chuẩn bị kỹ lưỡng được thực hiện bởi (những) kẻ tấn công có kinh nghiệm. Kỹ thuật lừa đảo được triển khai không tập trung vào thông tin xác thực, đó là những gì chúng ta thấy trong hầu hết các cuộc tấn công Front-End ảnh hưởng đến hệ sinh thái, mà thay vào đó, kẻ tấn công làm việc trực tiếp trên mã thông báo phiên. 

Phần mềm độc hại được sử dụng là Angel Drainer và nhóm bảo mật Ledger đã nhận thấy trong ba tháng qua có sự gia tăng các hoạt động tội phạm sử dụng phần mềm độc hại này (vui lòng tham khảo tài liệu đã xuất bản này). Báo cáo phong tỏa). Chúng ta cũng có thể thấy trên chuỗi số tiền bị đánh cắp đang được chia: 85% cho kẻ khai thác và 15% cho Angel Drainer, có thể được coi là phần mềm độc hại như một dịch vụ.

Angel Drainer này lừa người dùng ký các loại giao dịch khác nhau tùy thuộc vào loại tài sản mà nó hiện đang nhắm mục tiêu. Đối với token ERC20 và NFT, nó yêu cầu người dùng ký phê duyệt và Giấy phép tin nhắn. Đối với mã thông báo gốc, trình rút tiền yêu cầu người dùng ký một giao dịch “xác nhận quyền sở hữu” giả mạo trong đó xin phương pháp này chỉ đơn giản là quét tiền hoặc chuyển mã thông báo đơn giản mà sau này có thể được quét bằng cách triển khai hợp đồng thông minh tại địa chỉ tương ứng.

Đây là lý do tại sao chúng tôi tiếp tục khuyến khích Clear Signing như một ngành để người dùng có thể xác minh những gì họ thấy trên màn hình đáng tin cậy trên thiết bị phần cứng Ledger của họ. 

Các hành động khắc phục hậu quả

Nhóm công nghệ và bảo mật Ledger, bao gồm cả nhóm điều hành Ledger, hiện đang xem xét và kiểm tra tất cả các biện pháp kiểm soát truy cập của chúng tôi trên các công cụ và hệ thống nội bộ và bên ngoài của Ledger mà chúng tôi sử dụng. 

Ledger sẽ củng cố các chính sách của mình khi nói đến kiểm soát việc xem xét, triển khai, phân phối và truy cập mã, bao gồm việc thêm tất cả các công cụ bên ngoài vào hoạt động kiểm tra bảo trì và xuất xưởng của chúng tôi. Chúng tôi sẽ tiếp tục khái quát hóa việc ký mã khi có liên quan. Ngoài ra, chúng tôi đang tiến hành kiểm toán nội bộ định kỳ để đảm bảo việc này được thực hiện đúng cách. 

Ledger đã tổ chức các buổi đào tạo về bảo mật, bao gồm cả đào tạo về lừa đảo. Chương trình đào tạo an ninh nội bộ cũng sẽ được tăng cường vào đầu năm 2024 cho tất cả nhân viên trong các bộ phận tương ứng của họ. Ledger đã tổ chức các đánh giá bảo mật thường xuyên của bên thứ ba và sẽ tiếp tục ưu tiên các đánh giá này.  

Vào đầu năm 2024, một cuộc kiểm tra cụ thể của bên thứ ba sẽ được tiến hành, tập trung vào kiểm soát quyền truy cập, quảng bá và phân phối mã. 

Ngoài ra, chúng tôi sẽ củng cố hệ thống cảnh báo và giám sát cơ sở hạ tầng của mình để có thể phát hiện và phản ứng nhanh hơn với các sự cố trong tương lai..

Cuối cùng, chúng tôi sẽ tăng gấp đôi việc ngăn chặn Ký mù, loại bỏ nó như một tùy chọn cho người dùng Sổ cái để đảm bảo các biện pháp bảo mật tối đa và hướng dẫn người dùng về tác động tiềm ẩn của việc ký giao dịch mà không có màn hình an toàn hoặc không hiểu những gì họ đang ký khi không sử dụng Xóa chữ ký.

Chúng tôi một lần nữa xin cảm ơn các đối tác trong hệ sinh thái đã nhanh chóng làm việc với nhóm Ledger để xác định và giải quyết hành vi khai thác.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.ledger.com/blog/security-incident-report