慢雾余弦:Ledger代码库攻击团伙在ledgerhq/connect-kit1.1.5版本就已开始篡改

12月
14
2023-12-14 21:56
share to
Scan QR code with WeChat

金色财经报道,慢雾创始人余弦在社交媒体上发文称,从代码编辑页面来看,本次 Ledger 代码库攻击团伙在 ledgerhq/connect-kit 1.1.5 版本就开始篡改了,但没有植入恶意代码,仅写入一些嘲讽信息。1.1.6 版本开始植入恶意代码,但可能有点问题,随后发布了 1.1.7 带恶意代码的版本。最终,黑客留言感谢了前段时间宣布停止服务的网络钓鱼工具包 Inferno Drainer。

Next:
慢雾:使用ledgerhq/connect-kit版本>1.1.4的Dapp均受影响
金色财经报道,2023年12月14日 8:33 PM 慢雾安全威胁情报发现 @ledgerhq/connect-kit 遭受供应链攻击,攻击者在 @ledgerhq/connect-kit >1.1.4 的版本中植入了恶意的JS代码从而对加密货币用户发起钓鱼攻击。使用 @ledgerhq/connect-kit 版本 >1.1.4 的 Dapp 均受到影响,请注意排查代码中是否有使用到如下受影响版本。 影响版本范围: @ledgerhq/connect-kit 1.1.5 (攻击者在代码中进行留言) @ledgerhq/connect-kit 1.1.6 (攻击者在代码中进行留言并植入恶意的JS代码) @ledgerhq/connect-kit 1.1.7 (攻击者在代码中进行留言并植入恶意的JS代码) 慢雾安全团队建议,在没有官方明确修复前,请谨慎使用DApp进行交互操作。
2023-12-14 21:48

Weekly News

Recommend