PANews 12月14日消息,2023年12月14日8:33 PM慢霧安全威脅情報發現@ledgerhq/connect-kit遭受供應鏈攻擊,攻擊者在@ledgerhq/connect-kit >1.1.4的版本中植入了惡意的JS程式碼從而對加密貨幣用戶發動釣魚攻擊。使用@ledgerhq/connect-kit版本>1.1.4 的Dapp皆受到影響,請注意排查程式碼中是否有使用到以下受影響版本。
影響版本範圍:
@ledgerhq/connect-kit 1.1.5 (攻擊者在程式碼中進行留言)
@ledgerhq/connect-kit 1.1.6 (攻擊者在程式碼中留言並植入惡意的JS程式碼)
@ledgerhq/connect-kit 1.1.7 (攻擊者在程式碼中留言並植入惡意的JS程式碼)
慢霧安全團隊建議,在沒有官方明確修復前,請謹慎使用DApp進行互動操作。
