影响版本

ledgerhq/connect-kit 1.1.5

ledgerhq/connect-kit 1.1.6

ledgerhq/connect-kit 1.1.7

事件分析

Numen 安全团队发现 Ledger 的 ledgerhq/connect-kit 模块被植入恶意钓鱼代码，大量的 dapp 集成了该功能，受到影响的 dApp 列表没有明确的统计，范围极广。

https://github.com/LedgerHQ/connect-kit/commit/a4ba6946d8ab1906b040daf259c49dcd1dfdeeba

被投毒的代码 https://www.npmjs.com/package/@ledgerhq/connect-kit/v/1.1.7?activeTab=code

Revoke.cash Dapp 也集成了 LedgerHQ connect-kit（一款管理钱包代币授权和签名的安全工具）

截至目前，LedgerHQ Connect Kit 事件相关黑客已获利。

黑客钱包地址，相关钱包已被标记:

https://etherscan.io/address/0x658729879fca881d9526480b82ae00efc54b5c2d

https://etherscan.io/address/0x412f10AAd96fD78da6736387e2C84931Ac20313f

官方已经推送修复的版本 https://github.com/LedgerHQ/connect-kit/releases/tag/ck-v1.1.8，在此之前请暂时请勿使用钱包与任意 dapp 进行连接交互。

攻击者在推送代码时使用了该账户：@JunichiSugiura（Jun，Ledger 前员工）jun.sugiura.jp#gmail.com，可能@JunichiSugiura 的账户已经被黑。

总结

此次事件，攻击者获取了 Ledger 前员工@JunichiSugiura 的代码推送账户（不排除是本人所为），然后推送恶意钓鱼代码到 ledgerhq/connect-kit 库里，进行供应链攻击，在用户与 dapp 进行交互时，盗取用户的加密资产，ledger 的影响力非常大，有依赖该模块的 dapp 应用的项目方请尽快升级。