A LottieFiles anunciou que versões específicas do seu pacote npm contêm código malicioso que induz os usuários a conectar suas carteiras de criptomoedas, permitindo assim que sejam esvaziadas.
Conforme descoberto ontem, seguindo múltiplos relatos de usuários sobre injeções estranhas de código, as versões afetadas são Lottie Web Player (“lottie-player”) 2.0.5, 2.0.6 e 2.0.7, todas publicadas ontem.
A LottieFiles rapidamente liberou uma nova versão, a 2.0.8, baseada na limpa 2.0.4, aconselhando os usuários a atualizarem para ela o mais breve possível.
“Um grande número de usuários que utilizam a biblioteca via CDNs de terceiros, sem uma versão fixada, foram automaticamente servidos com a versão comprometida como a última atualização,” explica a LottieFiles.
Com a publicação da versão segura, esses usuários deveriam automaticamente receber o conserto.
Aqueles que não conseguem atualizar para a última versão devem comunicar o risco aos usuários finais do Lottie-player e alertá-los sobre pedidos fraudulentos de conexão à carteiras de criptomoedas.
Permanecer na versão 2.0.4 também é uma opção.
A LottieFiles é uma plataforma de software-como-serviço (SaaS) para criação e compartilhamento de animações baseadas em vetor (escaláveis) leves que podem ser incorporadas em aplicativos e sites.
Ela é popular por permitir visuais de alta qualidade com um impacto mínimo de desempenho em dispositivos menos potentes, aplicativos móveis e de web.
Mais cedo hoje, a LottieFiles publicou um comunicado sobre o comprometimento da cadeia de suprimentos, notando que isso afeta apenas o pacote npm e não seus serviços SaaS.
Aparentemente, aplicativos e sites que incorporam uma versão maliciosa do Lottie Web Player apresentaram aos usuários solicitações de conexão à carteira, o que então permite aos atores de ameaças transferir ativos digitais para carteiras sob seu controle.
A conta de desenvolvedor que foi usada para fazer o upload das versões adulteradas do pacote npm foi destituída de todo acesso, e tokens associados foram revogados para bloquear a atividade maliciosa.
“Confirmamos que nossas outras bibliotecas de código aberto, código-fonte aberto, repositórios Github e nosso SaaS não foram afetados”, assegura a LottieFiles.
A plataforma continua sua investigação interna do comprometimento com a ajuda de especialistas externos, e mais detalhes sobre o incidente podem ser disponibilizados no futuro.
A plataforma de monitoramento de ameaças em blockchain Scam Sniffer relata que houve pelo menos uma vítima perdendo o equivalente a $723.000 em Bitcoin como resultado do comprometimento da cadeia de suprimentos da LottieFiles.
Até o momento, o número exato de vítimas e a quantidade de criptomoeda perdida para esse esquema são desconhecidos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...