Новости Анимация за 10 BTC: LottiePlayer стал жертвой невидимого скрипта

NewsMaker

I'm just a script
Премиум
14,097
20
8 Ноя 2022
Новые версии плагина стали ловушкой для пользователей.


bl8ty1nqxn3i2e3j7zsn88foi2mm5eu3.jpg


Компания LottieFiles, разработчик популярного плагина для анимации LottiePlayer, стала жертвой кибератаки, направленной на кражу криптовалют пользователей.

В компании сообщили, что разработчик с высоким уровнем доступа к ресурсам компании стал жертвой атаки, в результате которой были украдены сессионные токены. Это позволило преступникам внести изменения в код LottiePlayer, который подключал криптокошельки пользователей к ресурсам злоумышленникам с целью хищения средств.

Проблемы начали обсуждаться на форумах, когда пользователи, посещавшие сайты с внедрённой библиотекой LottiePlayer, Для просмотра ссылки Войди или Зарегистрируйся подозрительные всплывающие окна. Окна запрашивали подключение кошельков, что вызвало волну вопросов и предположений о возможной компрометации.


7zcpgpyq5dv422vqht3qclzb7l1qur4z.png


Пример всплывающего окна (источник: Для просмотра ссылки Войди или Зарегистрируйся )

Киберпреступники внедрили 3 новых версии плагина LottiePlayer (2.0.5, 2.0.6 и 2.0.7) на платформе npmjs, с разницей в несколько минут. Изменения стали первыми обновлениями плагина за последние 2 месяца, что вызвало дополнительное внимание сообщества. Те сайты, которые были настроены на автоматическое получение последней версии LottiePlayer, автоматически получили заражённые обновления, что ставило под угрозу безопасность их пользователей.

LottieFiles Для просмотра ссылки Войди или Зарегистрируйся что 30 октября компания была проинформирована о несанкционированных обновлениях в своём популярном пакете LottiePlayer для npm . В результате оперативного вмешательства был привлечён сторонний эксперт по безопасности, после чего злоумышленника удалили из сети, а безопасная версия (2.0.8) стала доступна пользователям.

Компания также рекомендовала администраторам сайтов, которые не могут обновиться до безопасной версии, использовать предыдущую надёжную версию плагина (2.0.4) и предупредить клиентов о необходимости игнорировать всплывающие запросы на подключение криптокошельков.

LottieFiles отметила, что другие библиотеки, исходный код и репозитории на GitHub, а также SaaS-продукты компании не подверглись воздействию атаки, благодаря чему основная экосистема осталась в безопасности.

Несмотря на отсутствие данных о точном количестве пострадавших пользователей, известно, что проект LottiePlayer является широко популярным и насчитывает около 94 000 скачиваний в неделю. С момента запуска общий объём загрузок превысил 4 миллиона. В то же время, платформа Scam Sniffer Для просмотра ссылки Войди или Зарегистрируйся транзакцию, свидетельствующую о том, что один из пострадавших потерял около 10 BTC (около $722 500 на момент инцидента).
 
Источник новости
www.securitylab.ru

Похожие темы