Quan trọng: Một nhà nghiên cứu an ninh tiết lộ một hoạt động quy mô lớn bán các thiết bị Ledger Nano S Plus giả mạo và bị xâm phạm được phân phối qua nhiều nền tảng.

Phát hiện ra rằng một thiết bị giả mạo được mua từ thị trường Trung Quốc chứa phần cứng đã chỉnh sửa sử dụng chip ESP32 thay vì chip bảo mật gốc của Ledger, cùng với việc lưu trữ các cụm từ khôi phục (Seeds) và các số nhận dạng (PIN) dưới dạng văn bản thuần, sau đó gửi chúng đến các máy chủ do kẻ tấn công kiểm soát.

Thiết bị hoạt động bằng phần mềm cố định giả mạo mang tên Nano S+ V2.1 và hỗ trợ khoảng 20 mạng lưới blockchain, nơi tiền được rút khỏi bất kỳ ví nào được tạo ra trên đó.

Bên bán cũng cung cấp một phiên bản độc hại của ứng dụng Ledger Live dựa trên React Native và ký bằng chứng chỉ sửa lỗi (Debug Certificate), được thiết kế để chặn các giao dịch, trộm dữ liệu nhạy cảm và gửi chúng đến nhiều máy chủ điều khiển và kiểm soát.

Chiến dịch bao gồm năm phương thức tấn công khác nhau:
- Thiết bị phần cứng bị xâm phạm.
- Ứng dụng Android định dạng APK.
- Tệp Windows định dạng EXE.
- Trình cài đặt macOS định dạng DMG.
- Ứng dụng iOS phân phối qua TestFlight để vượt qua kiểm duyệt của cửa hàng ứng dụng.

Các chuyên gia cảnh báo rằng tính năng "Xác thực chính hãng" có thể bị vượt qua nếu phần cứng bị xâm phạm từ nguồn, khiến việc mua hàng từ các thị trường ngoài hoặc nhà bán hàng không chính thức trở nên rất nguy hiểm.

Người dùng được khuyên:
- Chỉ mua ví cứng từ các nguồn chính thức.
- Tránh các thiết bị có các cụm từ khôi phục được tạo sẵn.
- Tuyệt đối không nhập các cụm từ khôi phục vào các ứng dụng đi kèm.

Báo cáo đầy đủ đã được gửi đến nhóm an ninh của Ledger, và dự kiến sẽ công bố thêm các chi tiết kỹ thuật sau khi hoàn tất kiểm tra nội bộ.
$BTC
#