LottieFiles anunció que versiones específicas de su paquete npm contienen código malicioso que solicita a los usuarios que conecten sus billeteras de criptomonedas para poder vaciarlas.
Como se descubrió ayer, tras varios informes de usuario En cuanto a las inyecciones de código extraño, las versiones afectadas son Lottie Web Player (“lottie-player”) 2.0.5, 2.0.6 y 2.0.7, todas lanzadas ayer.
LottieFiles publicó rápidamente un nueva versión, 2.0.8que se basa en clean 2.0.4, y recomienda a los usuarios que lo actualicen lo antes posible.
“A una gran cantidad de usuarios que utilizan la biblioteca a través de CDN de terceros sin una versión fijada se les ofreció automáticamente la versión comprometida como la última versión” explica LottieFiles.
“Con el lanzamiento de la versión segura, estos usuarios habrían recibido automáticamente el parche”.
Aquellos que no puedan actualizar a la última versión deben comunicar el riesgo a los usuarios finales de Lottie Player y advertirles sobre solicitudes fraudulentas de inicio de sesión en billeteras de criptomonedas. Mantener la versión 2.0.4 también es una opción.
LottieFiles es una plataforma de software como servicio (SaaS) para crear y compartir animaciones vectoriales ligeras (escalables) que se pueden integrar en aplicaciones y sitios web.
Es popular por permitir imágenes de alta calidad con un impacto mínimo en el rendimiento en dispositivos, aplicaciones móviles y web menos potentes.
Hoy temprano, LottieFiles publicó un anuncio sobre el compromiso de la cadena de suministro, señalando que solo afecta al paquete npm y no a sus servicios SaaS.
Aparentemente, las aplicaciones y los sitios que integran una versión maliciosa de Lottie Web Player han enviado solicitudes de inicio de sesión a las billeteras de los usuarios, lo que luego permite a los actores maliciosos transferir activos digitales a las billeteras bajo su control.
Fuente: GitHub
La cuenta de desarrollador utilizada para descargar las versiones manipuladas del paquete npm ha sido privada de todo acceso y los tokens asociados han sido revocados para bloquear la actividad maliciosa.
“Hemos confirmado que nuestras otras bibliotecas de código abierto, nuestro código fuente abierto, nuestros repositorios Github y nuestro SaaS no se ven afectados”, asegura LottieFiles.
La plataforma continúa su investigación interna sobre el compromiso con la ayuda de expertos externos y es posible que en el futuro se proporcionen más detalles sobre el incidente.
Plataforma de monitoreo de amenazas blockchain Informes de detección de estafas que al menos una víctima perdió 723.000 dólares en Bitcoin tras el compromiso de la cadena de suministro de LottieFiles.
Al momento de escribir este artículo, se desconoce el número exacto de víctimas y la cantidad de criptomonedas perdidas debido a este esquema.