O popular projeto LottieFiles Lotti-Player foi comprometido em um ataque à cadeia de suprimentos para injetar um "drainer" de criptomoedas em websites, o qual rouba a criptomoeda dos visitantes.
A plataforma de monitoramento de ameaças Blockchain, Scam Sniffer, relata que pelo menos uma vítima supostamente perdeu $723.000 em Bitcoin devido ao comprometimento da cadeia de suprimentos do LottieFiles.
Como descoberto ontem, após múltiplos relatos de usuários sobre injeções de código estranhas, Lottie Web Player ("lottie-player") versões 2.0.5, 2.0.6 e 2.0.7 foram modificadas ontem para incluir código malicioso que injeta um "drainer" de carteira de criptomoedas em websites.
Drainers de carteiras de criptomoedas são scripts maliciosos injetados em websites que exibem prompts web3 para conectar uma carteira de criptomoedas.
No entanto, quando um usuário conecta sua carteira, o script tentará automaticamente "drenar", ou roubar, todos os ativos e NFTs, enviando-os para os atores da ameaça.
LottieFiles rapidamente lançou a versão 2.0.8, que é baseada na limpa 2.0.4, aconselhando os usuários a atualizarem para ela o mais rápido possível.
"Um grande número de usuários usando a biblioteca via CDNs de terceiros sem uma versão fixada recebeu automaticamente a versão comprometida como a última lançada," explica o CTO da LottieFiles, Nattu Adnan.
Com a publicação da versão segura, esses usuários deveriam receber automaticamente a correção.
Aqueles incapazes de atualizar para a versão mais recente devem comunicar o risco aos usuários finais do Lottie-player e alertá-los sobre solicitações fraudulentas de conexão com carteiras de criptomoedas.
Permanecer na versão 2.0.4 também é uma opção.
LottieFiles é uma plataforma Software-as-a-Service (SaaS) para criar e compartilhar animações vetoriais leves (escaláveis) que podem ser incorporadas em aplicativos e websites.
É popular por permitir visuais de alta qualidade com um impacto mínimo de desempenho em dispositivos menos potentes, mobile e aplicações web.
Ontem, desenvolvedores usando o script Lottie-Player descobriram que foram afetados por um ataque à cadeia de suprimentos, com websites que utilizam o script comprometido subitamente exibindo prompts para conectar uma carteira de criptomoedas.
Se um visitante clicasse em um dos botões para se conectar a uma carteira, o script faria uma conexão WebSocket com o site castleservices01[.]com [VirusTotal], que tem histórico de ser usado em ataques de phishing de criptomoedas.
LottieFiles diz que sua biblioteca JavaScript foi comprometida após um token de autenticação de um de seus desenvolvedores ter sido roubado e usado para fazer upload das versões maliciosas do pacote npm.
"Temos a confirmação de que nossas outras bibliotecas de código aberto, código fonte aberto, repositórios Github e nosso SaaS não foram afetados," assegura a LottieFiles.
A plataforma continua sua investigação interna do comprometimento com a ajuda de especialistas externos, e mais detalhes sobre o incidente podem ser disponibilizados no futuro.
O número exato de vítimas e a quantidade de criptomoeda perdida para este esquema são desconhecidos no momento.
Drainers de criptomoeda tornaram-se um problema massivo para a comunidade de criptomoedas, com atores de ameaças hackeando contas X conhecidas, websites hackeados, e usando vídeos de IA e publicidade maliciosa para promover websites que utilizam os scripts maliciosos.
Em 2023, anúncios no Google e Twitter promoveram sites contendo um "drainer" de criptomoedas chamado 'MS Drainer' que roubou $59 milhões de 63.210 vítimas ao longo de nove meses.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...