提供硬件和软件钱包的 Ledger 公司遭遇了供应链攻击。它的一名前员工首先遭到了钓鱼攻击,黑客因此能访问到这名员工的 NPMJS 账号,然后发布了恶意版本的 Ledger Connect Kit——该库被其它公司和项目开发的 dApps(去中心化应用)用于连接 Ledger 的钱包服务。恶意版 Ledger Connect Kit 嵌入的恶意代码会将用户的加密货币转移到黑客控制的钱包。这次供应链攻击被 Ledger 很快监测到并迅速修复。恶意版本存活了大约 5 个小时。Ledger 发言人表示正在帮助受影响的用户。
https://it.slashdot.org/story/23/12/14/1858249/supply-chain-attack-targeting-ledger-crypto-wallet-leaves-users-hacked