en règle générale, le code est relu et signé avant déploiement
mais cette règle ne s'appliquait pas sur le dépôt NPMJS interne contenant les dépendances de certains codes créés par Ledger
en règle générale, les accès des employés partis sont révoqués
mais au moins un ancien employé avait toujours des accès actifs
cet employé a été victime de phishing
les attaquants ont utilisé cet accès pour pousser du code sur le dépôt NPMJS insuffisamment protégé
ce code est appelé par les applications web qui interagissent avec le porte-feuille matériel (wallet)
le code d'attaque faisait transférer les fonds du wallet vers un porte-feuille contrôlé par l'attaquant
ce code serait resté actif 2h environ
C'est encore une faille liée à la chaîne d'approvisionnement logiciel, mais cette fois-ci via un dépôt interne. Cette attaque est soigneusement ciblée, chapeau aux attaquants. Elle a été très rapidement contre-carrée, chapeau aux défenseurs.
# Explications par Ledger
Posté par Samuel (site web personnel) . En réponse au lien Ledger, entreprise française de sécurité des cryptomonnaies, a été piratée. Évalué à 10.
Sur l'attaque, Ledger a publié une explication sur son blog. Si j'ai bien compris :
C'est encore une faille liée à la chaîne d'approvisionnement logiciel, mais cette fois-ci via un dépôt interne. Cette attaque est soigneusement ciblée, chapeau aux attaquants. Elle a été très rapidement contre-carrée, chapeau aux défenseurs.