MetaMask：已发现对Ledger Connect Kit的攻击，请停止使用dapp

金色财经报道，Ledger在社交媒体上发文表示，已识别并删除了 Ledger Connect Kit 的恶意版本。现在正在推送正版版本来替换恶意文件。暂时不要与任何 dApp 交互。随着情况的发展，我们将随时向您通报情况，您的 Ledger 设备和 Ledger Live 没有受到损害。

金色财经报道，2023年12月14日 8:33 PM 慢雾安全威胁情报发现 @ledgerhq/connect-kit 遭受供应链攻击，攻击者在 @ledgerhq/connect-kit >1.1.4 的版本中植入了恶意的JS代码从而对加密货币用户发起钓鱼攻击。使用 @ledgerhq/connect-kit 版本 >1.1.4 的 Dapp 均受到影响，请注意排查代码中是否有使用到如下受影响版本。 影响版本范围： @ledgerhq/connect-kit 1.1.5 (攻击者在代码中进行留言) @ledgerhq/connect-kit 1.1.6 (攻击者在代码中进行留言并植入恶意的JS代码) @ledgerhq/connect-kit 1.1.7 (攻击者在代码中进行留言并植入恶意的JS代码) 慢雾安全团队建议，在没有官方明确修复前，请谨慎使用DApp进行交互操作。

金色财经报道，慢雾创始人余弦在社交媒体上发文表示，从代码编辑页面来看，本次 Ledger 代码库攻击团伙在 ledgerhq/connect-kit 1.1.5 版本就开始篡改了，但没有植入恶意代码，仅写入一些嘲讽信息。1.1.6 版本开始植入恶意代码，但可能有点问题，随后发布了 1.1.7 带恶意代码的版本。最终，黑客留言感谢了前段时间宣布停止服务的网络钓鱼工具包 Inferno Drainer。

金色财经报道，Ledger在X平台发布漏洞最新更新，表示正版且经过验证的Ledger Connect Kit版本1.1.8现已传播并且可以安全使用。对于正在开发Ledger Connect Kit代码并与之交互的构建者：NPM 项目上的 connect-kit 开发团队现在是只读的，出于安全原因无法直接推送 NPM 包。 此外，恶意代码使用流氓 WalletConnect 项目将资金重新路由到黑客钱包。-Ledger 的技术和安全团队收到了警报，并在Ledger意识到后40分钟内部署了修复程序。该恶意文件的存活时间约为 5 小时，但资金被耗尽的时间窗口仅限于不到两个小时。 团队正在提出投诉，并与执法部门合作进行调查，以找到袭击者，并且正在研究该漏洞以避免进一步的攻击。

金色财经报道，慢雾创始人余弦在社交媒体就Ledger漏洞发文表示，昨天给Ledger Connect Kit投毒的团伙与臭名昭著的Angel Drainer有关（至少使用了这个钓鱼工具）。另外，Angel Drainer也开始使用智能合约来管理恶意JS文件的访问域名了。.

金色财经报道，MystenLabs.sui宣布推出dApp Kit，这是一种用于在Sui上构建React应用程序和dApp的一体化解决方案。使用它来简化连接钱包、签署交易和获​​取数据等任务。