Proiectul popular LottieFiles Lotti-Player a fost compromis intr-un atac asupra lanțului de aprovizionare pentru a injecta un drainer de criptomonede în site-urile web care fură criptomonede de la vizitatori.
Platforma de monitorizare a amenințărilor blockchain, Scam Sniffer, raportează că cel puțin o victimă a pierdut, presupus, 723.000 de dolari în Bitcoin din cauza compromiterii lanțului de aprovizionare LottieFiles.
După ce au fost descoperite ieri, ca urmare a mai multor rapoarte de utilizatori despre injecții de cod ciudate, Lottie Web Player („lottie-player”) 2.0.5, 2.0.6 și 2.0.7 au fost modificate pentru a include coduri malitioase care injectează un drainer de portofel criptografic în site-uri web.
Drainerele de portofel criptografic sunt scripturi malitioase injectate în site-uri web care afișează prompturi web3 pentru a conecta un portofel de criptomonede. Cu toate acestea, atunci când un utilizator își conectează portofelul, scriptul va încerca automat să „draineze” sau să fure toate activele și NFT-urile și să le trimită actorilor amenințării.
LottieFiles a lansat rapid versiunea 2.0.8, care se bazează pe versiunea curată 2.0.4, sfătuind utilizatorii să facă upgrade cât mai curând posibil.
„Un număr mare de utilizatori care folosesc biblioteca prin intermediul CDN-urilor terțe fără o versiune stabilă au primit automat versiunea compromisă drept cea mai recentă lansare,” explică CTO-ul LottieFiles, Nattu Adnan.
„Odată cu publicarea versiunii sigure, acei utilizatori ar fi primit automat remedierea.”
Cei care nu pot face upgrade la cea mai recentă versiune ar trebui să comunice riscul utilizatorilor finali ai Lottie-player și să-i avertizeze cu privire la solicitările frauduloase de conectare a portofelului de criptomonede. Rămânerea la versiunea 2.0.4 este și o opțiune.
LottieFiles este o platformă software ca serviciu (SaaS) pentru crearea și partajarea animațiilor ușoare bazate pe vectori (scalabile) care pot fi încorporate în aplicații și site-uri web.
Este popular pentru că permite vizuale de înaltă calitate cu un impact minim asupra performanței pe dispozitive mai puțin puternice, aplicații mobile și web.
Ieri, dezvoltatorii care foloseau scriptul Lottie-Player au descoperit că au fost afectați de un atac asupra lanțului de aprovizionare, cu site-urile care folosesc scriptul compromis afișând brusc prompturi de conectare a unui portofel de criptomonede.
BleepingComputer a testat versiunea malitioasă a scriptului JavaScript Lottie-Player adăugând-o la o pagină HTML simplă și poate confirma că, odată adăugat, scriptul va încărca un drainer de criptomonede.
Dacă un vizitator dă clic pe unul dintre butoanele de conectare la un portofel, scriptul va face o conexiune WebSocket la site-ul castleservices01[.]com, care are o istorie de utilizare în atacuri de phishing legate de criptomonede.
LottieFiles spune că biblioteca sa JavaScript a fost compromisă după ce un token de autentificare pentru unul dintre dezvoltatorii săi a fost furat și folosit pentru a încărca versiunile malitioase ale pachetului npm.
„Am confirmat că celelalte noastre biblioteci open source, codul open source, depozitele Github și SaaS-ul nostru nu au fost afectate,” asigură LottieFiles.
Platforma își continuă investigația internă a compromiterii cu ajutorul experților externi, iar mai multe detalii despre incident ar putea fi făcute disponibile în viitor.
Numărul exact de victime și suma de criptomonede pierdute în urma acestui scheme sunt necunoscute în acest moment.
Drainer-ele de criptomonede au devenit o problemă masivă pentru comunitatea criptografică, cu actori de amenințări care compromit conturi cunoscute, site-uri web și folosesc videoclipuri AI și publicitate malitioasă pentru a promova site-urile care utilizează scripturile malitioase.
În 2023, Google și Twitter au promovat site-uri care conțineau un drainer de criptomonede numit ‘MS Drainer’ care a furat 59 de milioane de dolari de la 63.210 victime în nouă luni.
Aplicația falsă WalletConnect de pe Google Play fură criptomonede de la utilizatorii Android
Atacul asupra lanțului de aprovizionare Revival Hijack amenință 22.000 de pachete PyPI
Hackerii Lazarus au folosit un joc fals DeFi pentru a exploata zero-day-ul Google Chrome
SEC acuză companii de tehnologie pentru minimizarea atacurilor SolarWinds
Operatorii ruși ai platformelor de spălare de bani ale crimei cibernetice sunt acuzați în SUA.
Leave a Reply