LottieFiles a anunțat că anumite versiuni ale pachetului său npm conțin coduri malitioase care determină utilizatorii să-și conecteze portofelele de criptomonede pentru a le goli.
Conform descoperirii de ieri, în urma mai multor rapoarte de la utilizatori despre injecții de coduri ciudate, versiunile afectate sunt Lottie Web Player („lottie-player”) 2.0.5, 2.0.6 și 2.0.7, toate publicate ieri.
LottieFiles a lansat rapid o nouă versiune, 2.0.8, care se bazează pe versiunea curată 2.0.4, sfătuind utilizatorii să facă upgrade cât mai curând posibil.
„Un număr mare de utilizatori care folosesc biblioteca prin intermediul CDN-urilor terțe fără o versiune fixată au fost serviți automat cu versiunea compromisă ca ultima lansare,” explică LottieFiles.
„Odată cu publicarea versiunii sigure, acei utilizatori ar fi primit automat remedierea.”
Cei care nu pot face upgrade la cea mai recentă versiune ar trebui să comunice riscul utilizatorilor finali ai Lottie-player și să-i avertizeze cu privire la cererile frauduloase de conectare a portofelului de criptomonede. Rămânerea la versiunea 2.0.4 este și o opțiune.
LottieFiles este o platformă software ca serviciu (SaaS) pentru crearea și partajarea animațiilor vectoriale ușoare care pot fi încorporate în aplicații și site-uri web.
Este populară pentru că permite vizuale de înaltă calitate cu un impact minim asupra performanței pe dispozitive mai puțin puternice, aplicații mobile și web.
Mai devreme azi, LottieFiles a lansat un anunț cu privire la compromiterea lanțului de aprovizionare, remarcând că afectează doar pachetul npm și nu serviciile sale SaaS.
Se pare că aplicațiile și site-urile care încorporează o versiune malitioasă a Lottie Web Player servi utilizatorilor cereri de conectare a portofelului, permițând apoi actorilor de amenințare să transfere active digitale în portofele aflate sub controlul lor.
Contul dezvoltatorului folosit pentru încărcarea versiunilor modificate ale pachetului npm a fost lipsit de toate accesul, iar token-urile asociate au fost revocate pentru a bloca activitatea malitioasă.
„Am confirmat că celelalte noastre biblioteci open source, codul sursă open source, depozitele Github și SaaS-ul nostru nu au fost afectate,” asigură LottieFiles.
Platforma își continuă investigația internă a compromiterii cu ajutorul experților externi, iar mai multe detalii despre incident ar putea fi disponibile în viitor.
Platforma de monitorizare a amenințărilor Blockchain, Scam Sniffer, raportează că cel puțin o victimă a pierdut 723.000 de dolari în Bitcoin ca rezultat al compromiterii lanțului de aprovizionare a LottieFiles.
Până în momentul redactării, numărul exact al victimelor și suma de criptomonede pierdute în acest plan nu sunt cunoscute.
Revival Hijack, atacul de tip supply chain, amenință 22.000 de pachete PyPI
Hackerii Lazarus au folosit un joc fals DeFi pentru a exploata zero-day-ul Google Chrome
SEC acuză companiile tech de subestimarea încălcărilor SolarWinds
Operatorii ruși ai platformelor de spălare de bani de pe internet acuzați în SUA
FBI-l arestează pe un bărbat din Alabama bănuit de hackuirea contului X al SEC
Leave a Reply