慢雾余弦:虽然Ledger npmjs被投毒版本已删除,但目前jsDelivr上还有带毒js文件

2023-12-15 10:30:13

金色财经报道,慢雾创始人余弦在社交媒体就Ledger漏洞发文表示,项目方目前需要注意: 1.Ledger被投毒的模块在npmjs平台上,前员工的npmjs账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。 2.发布后的模块会自动更新到jsDelivr CDN下。 3.Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,没有文件哈希绑定,没有严格限制引入版本。 4.前员工居然还遗留这么重要的权限,内部安全管理机制得好好增强了,最坏原则,如果内部作恶,是否可以有效避免并及时发现。 5.需要注意下,虽然Ledger npmjs被投毒的版本已经删除,但目前在jsDelivr上还有带毒js文件。 这些安全建议供其他项目方借鉴,别偷懒,每一次安全事件都是复盘自身的好机会。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
21:11
慢雾余弦:Ledger的一个模块被供应链劫持篡改,目前不确定多少DApp被影响
金色财经报道,慢雾创始人余弦在社交媒体上表示,Ledger的一个模块被供应链劫持篡改了,特别注意下这个风险,主要是不知道影响面多广,可能不少 DApp 都有依赖 Ledger 被投毒的库 ledgerhq/connect-kit。大家警惕下所有 DApp 相关操作,注意钱包待签名的请求信息是不是预期内的。
17:14
慢雾:Ledger Connect Kit事件始作俑者使用智能合约来管理恶意JS文件的访问域名
金色财经报道,慢雾安全团队在对 Ledger Connect Kit 供应链攻击事件进行了深入分析,发现这次攻击事件是由知名的 Angel Drainer 钓鱼团伙发起的,并且 Angel Drainer 钓鱼团伙使用智能合约来管理恶意 JS 文件的访问域名,为了尽可能避免 Web3 用户遭受到钓鱼攻击导致的资产损失,慢雾安全团队联合 Scam Sniffer 团队通过 Angel Drainer 钓鱼团伙的一系列特征识别了上千个钓鱼网站,并将这些钓鱼网站反馈到 eth-phishing-detect 希望通过社区的力量一同维护 Web3 行业的生态安全。
21:55
慢雾余弦:Ledger代码库攻击团伙在ledgerhq/connect-kit 1.1.5版本就已开始篡改
金色财经报道,慢雾创始人余弦在社交媒体上发文表示,从代码编辑页面来看,本次 Ledger 代码库攻击团伙在 ledgerhq/connect-kit 1.1.5 版本就开始篡改了,但没有植入恶意代码,仅写入一些嘲讽信息。1.1.6 版本开始植入恶意代码,但可能有点问题,随后发布了 1.1.7 带恶意代码的版本。最终,黑客留言感谢了前段时间宣布停止服务的网络钓鱼工具包 Inferno Drainer。
16:19
慢雾余弦:CVE编号有被NVD引用是很正常的事
12月10日消息,慢雾创始人余弦在社交媒体上表示,CVE 编号有被 NVD 引用是很正常的事,还不至于上升到向美国联邦政府寻求帮助,试图审查序号/铭文交易这种层面。 金色财经此前报道,Bitcoin Core开发人员Luke Dashjr在社交媒体发文表示,铭文利用Bitcoin Core客户端的漏洞已被分配标识符CVE-2023-50428。
13:12
慢雾余弦:铭文问题被分配CVE编号意味着定性为漏洞
金色财经报道,慢雾创始人余弦在社交媒体上发文称,铭文这个问题被分配了个CVE编号,这是釜底抽薪了,态度鲜明地定性漏洞了:CVE 编号不是什么新鲜事,许多安全团队/个人都可以申请,CVE 编号在安全行业是最知名的漏洞证明之一。
09:13
慢雾余弦:Stake.com被盗或因私钥相关接口/服务被恶意利用
9月5日消息,慢雾创始人余弦在社交媒体上发文表示,Stake.com 不仅 ETH 热钱包被黑,BSC/Polygon 热钱包也一样,目前至少超过 4130 万美元被盗。被盗与私钥出问题有关,可能不一定是私钥被盗走,也可能是私钥有关的接口/服务被恶意利用。 此前报道,加密博彩平台 Stake.com 昨晚疑似遭遇黑客攻击。链上侦探 ZachXBT 表示,Stake.com 在以太坊上被盗 1570 万的同时,也在 BSC 和 Polygon 网络被盗价值 2560 万美元的加密资产。今日早间,加密博彩平台 Stake.com 发布公告称,平台所有服务已恢复,所有货币的存提款都在即时处理。
Copyright © 2018-2022 211COIN版权所有.