Η LottieFiles ανακοίνωσε ότι συγκεκριμένες εκδόσεις του πακέτου npm φέρουν κακόβουλο κώδικα που προτρέπει τους χρήστες να συνδέσουν τα πορτοφόλια κρυπτονομισμάτων τους ώστε να μπορούν να αδειαστούν.
Όπως ανακαλύφθηκε χθες, μετά από πολλαπλά αναφορές χρηστών σχετικά με τις παράξενες ενέσεις κώδικα, οι εκδόσεις που επηρεάζονται είναι το Lottie Web Player (“lottie-player”) 2.0.5, 2.0.6 και 2.0.7, που δημοσιεύθηκαν όλες χθες.
Το LottieFiles κυκλοφόρησε γρήγορα ένα νέα έκδοση, 2.0.8το οποίο βασίζεται στο καθαρό 2.0.4, συμβουλεύοντας τους χρήστες να αναβαθμίσουν σε αυτό το συντομότερο δυνατό.
“Σε μεγάλο αριθμό χρηστών που χρησιμοποιούν τη βιβλιοθήκη μέσω CDN τρίτων χωρίς καρφιτσωμένη έκδοση, προβλήθηκε αυτόματα η παραβιασμένη έκδοση ως η πιο πρόσφατη έκδοση.” εξηγεί η LottieFiles.
“Με τη δημοσίευση της ασφαλούς έκδοσης, αυτοί οι χρήστες θα είχαν λάβει αυτόματα την επιδιόρθωση.”
Όσοι δεν μπορούν να κάνουν αναβάθμιση στην πιο πρόσφατη έκδοση θα πρέπει να κοινοποιήσουν τον κίνδυνο στους τελικούς χρήστες του Lottie player και να τους προειδοποιήσουν για δόλια αιτήματα σύνδεσης πορτοφολιού κρυπτονομισμάτων. Η παραμονή στην έκδοση 2.0.4 είναι επίσης μια επιλογή.
Το LottieFiles είναι μια πλατφόρμα λογισμικού ως υπηρεσία (SaaS) για τη δημιουργία και την κοινή χρήση ελαφρών κινούμενων εικόνων που βασίζονται σε διανύσματα (κλιμακούμενα) που μπορούν να ενσωματωθούν σε εφαρμογές και ιστότοπους.
Είναι δημοφιλές επειδή επιτρέπει γραφικά υψηλής ποιότητας με ελάχιστο αντίκτυπο στην απόδοση σε λιγότερο ισχυρές συσκευές, κινητά και εφαρμογές ιστού.
Νωρίτερα σήμερα, η LottieFiles δημοσίευσε μια ανακοίνωση σχετικά με τον συμβιβασμό της εφοδιαστικής αλυσίδας, σημειώνοντας ότι επηρεάζει μόνο το πακέτο npm και όχι τις υπηρεσίες SaaS.
Προφανώς, εφαρμογές και ιστότοποι που ενσωματώνουν μια κακόβουλη έκδοση του Lottie Web Player εξυπηρέτησαν στους χρήστες ειδοποιήσεις σύνδεσης πορτοφολιού, οι οποίες στη συνέχεια επιτρέπουν στους φορείς απειλών να μεταφέρουν ψηφιακά στοιχεία σε πορτοφόλια υπό τον έλεγχό τους.
Πηγή: GitHub
Ο λογαριασμός προγραμματιστή που χρησιμοποιήθηκε για τη μεταφόρτωση των παραποιημένων εκδόσεων του πακέτου npm έχει αφαιρεθεί από κάθε πρόσβαση και τα σχετικά διακριτικά ανακλήθηκαν για να αποκλειστεί η κακόβουλη δραστηριότητα.
«Έχουμε επιβεβαιώσει ότι οι άλλες βιβλιοθήκες ανοιχτού κώδικα, ο ανοιχτός κώδικας, τα αποθετήρια Github και το SaaS μας δεν επηρεάστηκαν», διαβεβαιώνει η LottieFiles.
Η πλατφόρμα συνεχίζει την εσωτερική της έρευνα για τον συμβιβασμό με τη βοήθεια εξωτερικών εμπειρογνωμόνων και περισσότερες λεπτομέρειες για το περιστατικό ενδέχεται να είναι διαθέσιμες στο μέλλον.
Πλατφόρμα παρακολούθησης απειλών blockchain Αναφορές απάτης Sniffer ότι υπήρξε τουλάχιστον ένα θύμα που έχασε αξίας 723.000 $ στο Bitcoin ως αποτέλεσμα του συμβιβασμού της αλυσίδας εφοδιασμού LottieFiles.
Μέχρι στιγμής, ο ακριβής αριθμός των θυμάτων και το ποσό του κρυπτονομίσματος που χάθηκε από αυτό το σύστημα είναι άγνωστα.
VIA: bleepingcomputer.com
