Un faux Ledger Nano S+ vide des portefeuilles sur 20 chaînes

Un chercheur en sécurité basé au Brésil expose une opération de contrefaçon de Ledger Nano S+ utilisant un micrologiciel malveillant et de fausses applications d'authentification pour vider des portefeuilles sur 20 blockchains.

Un chercheur en sécurité basé au Brésil a exposé l'une des opérations de contrefaçon de Ledger Nano S+ les plus sophistiquées jamais documentées. L'appareil contrefait, provenant d'une marketplace chinoise, contenait un micrologiciel malveillant personnalisé et une application clonée. L'attaquant a immédiatement volé chaque phrase de récupération que les utilisateurs saisissaient.

Le chercheur a acheté l'appareil en raison de soupçons concernant des irrégularités de prix. En l'ouvrant, la nature contrefaite était évidente. Au lieu de le jeter, un démontage complet a suivi.

Ce qui était caché dans la puce

Le Ledger Nano S+ authentique utilise une puce ST33 Secure Element. Cet appareil avait à la place un ESP32-S3. Les marquages de la puce ont été physiquement poncés pour bloquer l'identification. Le micrologiciel s'identifiait comme "Ledger Nano S+ V2.1" — une version qui n'existe pas.

Les enquêteurs ont trouvé des phrases de récupération et des codes PIN stockés en texte brut après avoir effectué un vidage de mémoire. Le micrologiciel se connectait à un serveur de commande et de contrôle sur kkkhhhnnn[.]com. Toute phrase de récupération saisie dans ce matériel était exfiltrée instantanément.

L'appareil prend en charge environ 20 blockchains pour vider les portefeuilles. Ce n'est pas une opération mineure.

Cinq vecteurs d'attaque, pas un seul

Le vendeur a intégré une application d'authentification "Ledger Live" modifiée avec l'appareil. Les développeurs ont construit l'application avec React Native en utilisant Hermes v96 et l'ont signée avec un certificat Android Debug. Les attaquants ne se sont pas souciés d'obtenir une signature légitime.

L'application s'accroche à XState pour intercepter les commandes APDU. Elle utilise des requêtes XHR furtives pour extraire les données silencieusement. Les enquêteurs ont identifié deux serveurs de commande et de contrôle supplémentaires : s6s7smdxyzbsd7d7nsrx[.]icu et ysknfr[.]cn.

Cela ne se limite pas à Android. La même opération distribue un .EXE pour Windows et un .DMG pour macOS, ressemblant aux campagnes suivies par Moonlock sous AMOS/JandiInstaller. Une version iOS TestFlight circule également, contournant complètement l'examen de l'App Store — une tactique précédemment liée aux arnaques CryptoRom. Cinq vecteurs au total : matériel, Android, Windows, macOS, iOS.

La vérification d'authenticité ne peut pas vous sauver ici

Les directives officielles de Ledger confirment que les appareils authentiques portent une clé cryptographique secrète définie lors de la fabrication. La vérification d'authenticité Ledger dans Ledger Wallet vérifie cette clé chaque fois qu'un appareil se connecte. Selon la documentation d'assistance de Ledger, seul un appareil authentique peut passer cette vérification.

Le problème est simple. Une compromission lors de la fabrication rend toute vérification logicielle inutile. Le micrologiciel malveillant imite suffisamment le comportement attendu pour dépasser les vérifications de base. Le chercheur l'a confirmé directement lors du démontage.

Les attaques de la chaîne d'approvisionnement ciblant les utilisateurs de Ledger passées ont montré à plusieurs reprises que la vérification au niveau de l'emballage seule est insuffisante. Des cas documentés sur BitcoinTalk enregistrent des utilisateurs individuels perdant plus de 200 000 $ à cause de faux portefeuilles matériels provenant de plateformes tierces.

Où ces appareils sont vendus

Les plateformes tierces sont le principal canal de distribution. Les vendeurs tiers Amazon, eBay, Mercado Livre, JD et AliExpress ont tous des historiques documentés de listes de portefeuilles matériels compromis, a noté le chercheur dans la publication Reddit sur r/ledgerwallet.

Le prix est délibérément suspect. C'est l'appât. Une source non officielle ne propose pas un Ledger à prix réduit comme une bonne affaire — elle vend un produit compromis au profit de l'attaquant.

Les canaux officiels de Ledger sont son propre site de commerce électronique sur Ledger.com et des boutiques Amazon vérifiées dans 18 pays. Nulle part ailleurs ne garantit l'authenticité.

Ce que fait le chercheur ensuite

L'équipe a préparé un rapport technique complet pour l'équipe Donjon de Ledger et son programme de prime au phishing, et publiera le document complet après que Ledger aura terminé son analyse interne.

Le chercheur a mis les IOC à disposition d'autres professionnels de la sécurité par messages directs. Toute personne ayant acheté un appareil provenant d'une source douteuse peut demander de l'aide pour l'identification.

Les principaux signaux d'alerte restent simples. Une phrase de récupération pré-générée incluse avec l'appareil est une arnaque. Une documentation demandant aux utilisateurs de saisir une phrase de récupération dans une application d'authentification est une arnaque. Détruisez l'appareil immédiatement dans les deux cas.

L'article Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains est apparu en premier sur Live Bitcoin News.