假冒 Ledger Nano S+ 盗取 20 条链上钱包资产

一名位于巴西的安全研究员揭露了一项使用恶意固件和假应用程式来耗尽20条区块链钱包的伪造Ledger Nano S+操作。

一名位于巴西的安全研究员揭露了有史以来记录最精密的 伪造Ledger Nano S+ 操作之一。这个假设备来自中国市场,携带定制恶意固件和克隆应用程式。攻击者立即盗取用户输入的每个助记词。

研究员因怀疑价格异常而购买了该设备。拆开后,伪造的本质显而易见。研究员没有丢弃它,而是进行了完整拆解。

芯片内隐藏了什么

正版Ledger Nano S+使用ST33安全元件芯片。这个设备使用的却是ESP32-S3。芯片标记被物理打磨以阻止识别。固件自称为"Ledger Nano S+ V2.1"——一个并不存在的版本。

调查人员在进行内存转储后发现助记词和PIN码以明文形式存储。固件向kkkhhhnnn[.]com的命令与控制服务器发送信标。任何输入到此硬件的助记词都会被即时外泄。

该设备支持约20条区块链进行钱包耗尽。这不是小规模的操作。

五个攻击载体,而非一个

卖家随设备捆绑了一个修改过的"Ledger Live"应用程式。开发者使用React Native和Hermes v96构建该应用程式,并用Android Debug证书签名。攻击者懒得获取合法签名。

该应用程式挂钩到XState以拦截APDU命令。它使用隐秘的XHR请求悄悄提取数据。调查人员识别出另外两个命令与控制服务器:s6s7smdxyzbsd7d7nsrx[.]icu和ysknfr[.]cn。

这不仅限于Android。同一操作为Windows分发.EXE文件,为macOS分发.DMG文件,类似于Moonlock在AMOS/JandiInstaller下追踪的活动。一个iOS TestFlight版本也在流通,完全绕过App Store审核——这一策略先前与CryptoRom诈骗有关。总共五个载体:硬件、Android、Windows、macOS、iOS。

正版检查在此无法保护你

Ledger的官方指引确认正版设备在制造过程中携带秘密加密密钥。Ledger钱包中的Ledger正版检查在每次设备连接时验证此密钥。根据 Ledger的支援文档,只有正版设备才能通过该检查。

问题很直接。制造过程中的妥协使任何软件检查变得无用。恶意固件模仿了足够多的预期行为以通过基本检查。研究员在拆解中直接确认了这一点。

过去 针对Ledger用户的供应链攻击 反复显示仅包装级别的验证是不够的。BitcoinTalk上记录的案例显示个别用户因第三方市场的假硬件钱包损失超过200,000美元。

这些设备在哪里销售

第三方市场是主要分销渠道。研究员在r/ledgerwallet的Reddit帖子中指出,Amazon第三方卖家、eBay、Mercado Livre、JD和AliExpress都有列出受损硬件钱包的记录历史。

价格点故意可疑。这就是诱饵。非官方来源提供折扣Ledger不是优惠——它销售受损产品以使攻击者受益。

Ledger的官方渠道是其在Ledger.com的自有电商网站和18个国家的经验证Amazon商店。其他地方都无法保证真实性。

研究员接下来要做什么

团队为Ledger的Donjon团队和其网络钓鱼赏金计划准备了一份全面的技术报告,并将在Ledger完成内部分析后发布完整报告。

研究员已通过直接讯息向其他安全专业人员提供IOC。任何从可疑来源购买设备的人都可以联系以获得识别协助。

关键警示仍然简单。设备附带预生成的助记词是诈骗。要求用户将助记词输入应用程式的文档是诈骗。在任何一种情况下都应立即销毁设备。

文章《伪造Ledger Nano S+耗尽20条链上的钱包》首次发表于Live Bitcoin News。