The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений"  +/
Сообщение от opennews (??), 16-Дек-23, 11:21 
Компания Ledger, выпускающая одноимённые аппаратные криптокошельки, раскрыла информацию о компрометации своего NPM-репозитория, которая привела к внедрению вредоносного кода в JavaScript-библиотеку Ledger Connect Kit, применяемую для обеспечения доступа децентрализованных web-приложений к криптокошелькам.  Злоумышленникам удалось выпустить фиктивные версии Connect Kit, в которые был встроен код, подставляющий обманные транзакции для перевода средств с криптокошелька жертвы...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60294

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +4 +/
Сообщение от Аноним (1), 16-Дек-23, 11:21 
Хорошая работа.
Ответить | Правка | Наверх | Cообщить модератору

2. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +4 +/
Сообщение от Аноним (2), 16-Дек-23, 11:26 
Ladger был одним из лучших холодных кошельков. Был... Пока они не придумали Ladger Recovery, сервис для распределённого бэкапа seed-фразы в облачных хранилищах. Это полный провал в отношении к защите информации. Закрытый ключ должен только записываться на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим только отдачу результатов подписывания ключом. Если предусмотрена возможность передачи во вне seed-фразы для резервного копирования, о какой безопасности может идти речь? Если есть возможность программно выгрузить seed, то значит подобный запрос выгрузки можно симулировать во вредоносном ПО.
Ответить | Правка | Наверх | Cообщить модератору

9. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от morphe (?), 16-Дек-23, 12:42 
Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе.
Более того, для бекапа этот самый секретный ключ и надо вводить, с леджера его в таком виде не извлечь.

Однако да, это неправильно что у леджера в принципе ключ при настройке наружу сообщается, что в то же время возможно и хорошо, учитывая насколько кривой у него внутри код. Так хоть в случае чего можно руками приватные ключи восстановить.

Ответить | Правка | Наверх | Cообщить модератору

15. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +2 +/
Сообщение от Аноим (?), 16-Дек-23, 13:02 
> Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно
> записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе.

Разница в том, что фраза восстановление раньше показывалась _только_ на ЖК-экране леджера и _не_выходила_ за пределы устройства. Ladger Recovery бэкапит фразу восстановления на _внешних_ облаках, что подразумевает то, что фраза перед разделением на части будет передана на сторону приложения Lender Live и на сервер компании Ladger, а не останется только внутри устройства. Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.

Ответить | Правка | Наверх | Cообщить модератору

22. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  –2 +/
Сообщение от Аноним (22), 16-Дек-23, 15:00 
Ничего не ломает, это твои какие-то измышлизмы. Как бэкапить то фразу?
Ответить | Правка | Наверх | Cообщить модератору

33. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +16 +/
Сообщение от kafka (?), 16-Дек-23, 15:59 
>>Как бэкапить то фразу?

НА БУМАГЕ!

поколение снежинок, мать  вашу.

Ответить | Правка | Наверх | Cообщить модератору

40. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +1 +/
Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 16:42 
им кто-то в уши залил, что хранить инфу на бумаге это не секурно :)
Ответить | Правка | Наверх | Cообщить модератору

36. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от morphe (?), 16-Дек-23, 16:38 
> Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.

~~Я возможно чот не понимаю, но для работы ledger recovery тебе нужно самому перегнать сид фразу в облако с его экрана, в прошивке нет возможности это автоматизировать?~~

Да, понял, не совсем так, оно на устройстве разбивает ключ, а затем приложение ledger live передаёт на устройство 3 приватных ключа, с которыми шифруются куски согласно маркетинговым материалам. Тогда действительно не круто

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

46. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Аноним (-), 16-Дек-23, 18:37 
> полный провал в отношении к защите информации. Закрытый ключ должен только записываться
> на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим
> только отдачу результатов подписывания ключом.

Вопрос: а что нелох делает если чип скончался, девайс про@#$лся и тому подобное? А, ожесточенно выдирает волосы на всех местах где они растут?!

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

48. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от torvn77 (ok), 16-Дек-23, 21:24 
Не лох не будет держать основные деньги на аппаратном кошельке, он нужен для удобства текущих операций.
Ответить | Правка | Наверх | Cообщить модератору

51. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +2 +/
Сообщение от Аноним (51), 17-Дек-23, 00:06 
Нелох при начальной инициализации устройства переписывает новенькую сгенерированную сид-фразу на бумажку(-и) и прячет ее(их) в надежное место. Если ты каменщик - можешь высечь в граните (и закопать). Как вариант - сохраняешь в надежном (ха-ха, на свой страх и риск, если не боишься троянов на компе и уязвимостей в ПО) менеджере паролей и раскидываешь его зашифрованную БД по всяким гугл-дискам в надежде что квантовый компутер еще нескоро сможет это дело вскрыть.

Потом у тебя этот девайс "скончался, про@#$лся и тому подобное"

Тут варианты:
- Просто покупаешь второе такое же устройство и там выбираешь не генерацию новой сид-фразы, а режим восстановления и вводишь старую сид-фразу. Все приватные ключи/адреса для разных блокчейнов остались на месте, прежними.
- Используешь любой другой кошелек, _СОВМЕСТИМЫЙ_ со старым в котором тоже восстанавливаешь ключи по уже существующей сид-фразе. Насчет совместимости - там у них есть приколы что при одной и той же сид-фразе для одного и того же блокчейна могут генерироваться разные ключи/адреса из-за того, что разные кошельки могут использовать, грубо говоря, несовместимые "хвосты", "суффиксы" (derivation path) к сид-фразе. Вот такая "стандартизация".

Например, для блокчейна Cardano (ADA) в программном кошельке Exodus derivation path это строка "m/44'/1815'/0'/0/0", а в кошельке TrustWallet - "m/1852'/1815'/0'/0/0". А итоговая пара ключей для конкретного блокчейна генерируется, условно, из "сид_фразы + derivation_path", что даже при одной и той же сид-фразе, но разных derivation path даст совершенно разные результаты (т.е. кошельки несовместимы с точки зрения сид-фраз, дадут разные пары ключей).

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

3. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от InuYasha (??), 16-Дек-23, 11:30 
NeverAgain.js ...и вот опять. Они там с PyPI соревнуются, похоже.
Ответить | Правка | Наверх | Cообщить модератору

10. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +4 +/
Сообщение от Аноним (10), 16-Дек-23, 12:42 
NPM : Нас не догонят!
Ответить | Правка | Наверх | Cообщить модератору

5. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +2 +/
Сообщение от Аноним (5), 16-Дек-23, 11:43 
> В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации, оставление прав доступа у уволенного сотрудника и использование сети доставки контента, не позволяющей привязаться к конкретной проверенной версии библиотеки (приложения всегда использовали самую свежую версию).

Лучшие практики смузи-разработки.

Ответить | Правка | Наверх | Cообщить модератору

8. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +1 +/
Сообщение от nox. (?), 16-Дек-23, 12:40 
> приложения всегда использовали самую свежую версию

Так поступают многие проекты через самостоятельное безусловное обновление.

Ответить | Правка | Наверх | Cообщить модератору

12. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  –2 +/
Сообщение от Вы забыли заполнить поле Name (?), 16-Дек-23, 12:46 
Для смузихлебов новая версия - это как игрушка для собаки, у них сразу появляется слюноотделение, учащается сердцебиение и желание совершать движения.

Смотришь на некоторые проекты, а там только комитет от бота, который араки зависимости.

Ответить | Правка | Наверх | Cообщить модератору

23. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  –1 +/
Сообщение от Аноним (22), 16-Дек-23, 15:03 
Эти смузихлебы сейчас с нами? Я тоже люблю новые версии, да и все любят, это только совсем дединсайдам пофиг. Не надо подменять понятие профнепригодности.
Ответить | Правка | Наверх | Cообщить модератору

41. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Аноним (41), 16-Дек-23, 17:43 
> Я тоже люблю новые версии, да и все любят

Говори за себя.

> это только совсем дединсайдам пофиг

Я-то думал, профи должны относиться к новому с трезвой осторожностью, а не визжать как девочки. Результаты непофигизма "весёлой хипстоты-инсайд" - в посте.

Ответить | Правка | Наверх | Cообщить модератору

54. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Аноним (54), 17-Дек-23, 04:55 
> Не надо подменять понятие профнепригодности.

Молодец! Сам диагноз определил. Правда начал с ним спорить. Но, все равно - это уже успех!

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

57. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от User (??), 18-Дек-23, 07:38 
Не-не-не, не знаю, как у вас - а у нас новые версии боятся-и-ненавидят - патамучта нельзя же вот так просто - взять и не переломать все нах..., пардон, УЛУЧШИТЬ, правда? Пацаны-не-поймут, спросят "нафиг обновлял?!" тогда.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

44. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Аноним (-), 16-Дек-23, 18:28 
> Лучшие практики

лучшие теоретики, блин

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

7. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +1 +/
Сообщение от Аноним (-), 16-Дек-23, 12:08 
Переходим на Tangem Wallet.
Ответить | Правка | Наверх | Cообщить модератору

13. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Аноним (13), 16-Дек-23, 12:54 
> Переходим на Tangem Wallet.

У него нет функции показа seed-а для создания резервной копии. Если потеряешь/поломаешь имеющиеся карты, деньги не восстановить. Еще непонятно как там синхронизация и генерация ключа работает, сказано, что ключ генерируется на каждой карте, но при этом есть возможность привязывать/синхронизировать дополнительные карты, значит программа может извлекать ключи или seed не такой рандомный как заявлено, очень сомнительно в плане безопасности. Где на карте берётся энтропия для генератора случайных чисел? В Ledger в энтропия формируется на основе задержек при нажатии клавиш на брелоке, а в Tangem где взять внешний шум? К тому же мутное происхождение, бренд зарегистрирован в Швейцарии, а по факту владельцы бизнеса россияне.

Ответить | Правка | Наверх | Cообщить модератору

14. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Ким Чен Ын (?), 16-Дек-23, 13:01 
не, рассиянцам доверия вообще нет
Ответить | Правка | Наверх | Cообщить модератору

21. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 14:55 
>бренд зарегистрирован в Швейцарии

лол,кек вы думаете где-то на белом свете позволят создавать милитари грейд устройсва защиты информации, темболее в указанной стране?

у вашего это леджера темпер протекшен хоть имеется?

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

28. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 16-Дек-23, 15:20 
Ответить | Правка | Наверх | Cообщить модератору

38. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 16:39 
>Создал тебе GNUK, пользуйся.

спасибо, поржал

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

24. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Аноним (22), 16-Дек-23, 15:04 
Чел, признайся, сколько триллионов долларов у тебя в кошельке?
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

27. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Аноним (-), 16-Дек-23, 15:18 
А что вы думаете про SafePal S1?
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

17. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от ИмяХ (ok), 16-Дек-23, 13:31 
Неееет, такого не бывает! Криптовалюта это надёжно и безопасно, никто не сможет украсть ваши деньги, всё зашифровано так, что нужен квантовый компьютер размером с планету, чтобы его взломать.
Ответить | Правка | Наверх | Cообщить модератору

19. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Аноним (19), 16-Дек-23, 13:42 
Ну вообще обещали что злое государство не сможет украсть.
Ответить | Правка | Наверх | Cообщить модератору

26. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +1 +/
Сообщение от Аноним (22), 16-Дек-23, 15:06 
А че, кто-то обещал безопасность?
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

49. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от torvn77 (ok), 16-Дек-23, 21:26 
Так у тех кто всё делает правильно так безопасно и секюрно всё и есть.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

29. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Аноним (29), 16-Дек-23, 15:29 
Только Bitcoin core, только hardcore.
Ответить | Правка | Наверх | Cообщить модератору

30. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Kuromi (ok), 16-Дек-23, 15:29 
Крипта + "В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации" = замечательная безопасность.

Знаю что сейчас в комменты набегут товарищи которые думают что двухфакторка = смс = палево по номеру телефона, но по вашему возможность тыринга крипты через "троян" в официальном софте это нормально?

Ответить | Правка | Наверх | Cообщить модератору

32. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +1 +/
Сообщение от Вы забыли заполнить поле Name. (?), 16-Дек-23, 15:50 
TOTP у вас ещё не изобрели?
Ответить | Правка | Наверх | Cообщить модератору

35. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Kuromi (ok), 16-Дек-23, 16:30 
> TOTP у вас ещё не изобрели?

Забыл про него упомянуть. Но кстати не им единым мир живет, есть еще WebAuthn

Ответить | Правка | Наверх | Cообщить модератору

50. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от torvn77 (ok), 16-Дек-23, 21:27 
Или U2F
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

56. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Kuromi (ok), 18-Дек-23, 02:06 
> Или U2F

А это сейчас де факто одно и тоже (вернее, WebAuthn поглотил U2F и поддерживает устройства с ним). Как таковую поддержку именно U2F из того же ФФ уже вырезали.

Ответить | Правка | Наверх | Cообщить модератору

31. Скрыто модератором  +1 +/
Сообщение от Аноним (31), 16-Дек-23, 15:46 
Ответить | Правка | Наверх | Cообщить модератору

34. Скрыто модератором  +1 +/
Сообщение от Аноним (34), 16-Дек-23, 16:12 
Ответить | Правка | Наверх | Cообщить модератору

39. Скрыто модератором  +/
Сообщение от Аноним (-), 16-Дек-23, 16:41 
Ответить | Правка | Наверх | Cообщить модератору

43. Скрыто модератором  +/
Сообщение от Аноним (41), 16-Дек-23, 17:50 
Ответить | Правка | Наверх | Cообщить модератору

47. Скрыто модератором  +/
Сообщение от Аноним (47), 16-Дек-23, 20:51 
Ответить | Правка | Наверх | Cообщить модератору

53. Скрыто модератором  +/
Сообщение от user90 (?), 17-Дек-23, 03:27 
Ответить | Правка | Наверх | Cообщить модератору

45. Скрыто модератором  +/
Сообщение от Аноним (-), 16-Дек-23, 18:30 
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

37. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Аноним (-), 16-Дек-23, 16:39 
Хм... Интересно, у них тоже было привычное AS IS в лицензии?
Ну и что никаких возмещений за кривой код.
Ответить | Правка | Наверх | Cообщить модератору

52. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от noc101 (ok), 17-Дек-23, 00:48 
Никогда не было и вот в очередной раз повторяется. История никого не учит.
Ответить | Правка | Наверх | Cообщить модератору

55. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +1 +/
Сообщение от Аноним (55), 17-Дек-23, 13:30 
История учит тех, кто ее застал или хотя бы изучал. Поколение смузихлебов открывает для себя все заново.
Ответить | Правка | Наверх | Cообщить модератору

58. "Компрометация NPM-репозитория Ledger привела к подстановке в..."  +/
Сообщение от Аноним (58), 21-Дек-23, 08:46 
Я не понимаю, почему на всех официальных сайтах криптовалют, даже мега приватного монеро, рекомендуют использовать холодные проприетарные аппаратные кошельки, вроде Ledger. Им за это платят? Там же закрытая прошивка в них и простор для вставки закладок просто неограниченный, даже необязательно, что у вас сид фразы украдут, могут просто при подключении к компу связывать ваш айпи, с вашим кошельком и отправлять эту информацию кому надо
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру