Ledger爆大规模资安、众多DApp受影响，慢雾：勿操作，静待各方更新

Ledger爆大规模资安、众多DApp受影响，慢雾：勿操作，静待各方更新https://abmedia.io/identified-a-malicious-version-of-the-ledger-connect-kit?utm_source=rss&utm_medium=rss&utm_campaign=identified-a-malicious-version-of-the-ledger-connect-kit&utm_source=rss&utm_medium=rss&utm_campaign=identified-a-malicious-version-of-the-ledger-connect-kit

慢雾余弦：Ledger 代码库攻击团伙在 ledgerhq/connect-kit 1.1.5 版本就已开始篡改

慢雾余弦：Ledger代码库攻击团伙在ledgerhq/connect-kit1.1.5版本就已开始篡改慢雾创始人余弦在社交媒体上发文表示，从代码编辑页面来看，本次Ledger代码库攻击团伙在ledgerhq/connect-kit1.1.5版本就开始篡改了，但没有植入恶意代码，仅写入一些嘲讽信息。1.1.6版本开始植入恶意代码，但可能有点问题，随后发布了1.1.7带恶意代码的版本。最终，黑客留言感谢了前段时间宣布停止服务的网络钓鱼工具包InfernoDrainer。

慢雾：使用 ledgerhq/connect-kit 版本 >1.1.4 的 Dapp 均受影响

慢雾：使用ledgerhq/connect-kit版本>1.1.4的Dapp均受影响2023年12月14日8:33PM慢雾安全威胁情报发现@ledgerhq/connect-kit遭受供应链攻击，攻击者在@ledgerhq/connect-kit>1.1.4的版本中植入了恶意的JS代码从而对加密货币用户发起钓鱼攻击。使用@ledgerhq/connect-kit版本>1.1.4的Dapp均受到影响，请注意排查代码中是否有使用到如下受影响版本。影响版本范围：@ledgerhq/connect-kit1.1.5(攻击者在代码中进行留言)@ledgerhq/connect-kit1.1.6(攻击者在代码中进行留言并植入恶意的JS代码)@ledgerhq/connect-kit1.1.7(攻击者在代码中进行留言并植入恶意的JS代码)慢雾安全团队建议，在没有官方明确修复前，请谨慎使用DApp进行交互操作。