💬 SaaS-платформа анимации LottieFiles предупреждает пользователей о криптоугрозах

SaaS-платформа анимации LottieFiles предупреждает пользователей о криптоугрозах

LottieFiles выявила взлом цепочки поставок, при котором вредоносный код мог заставить пользователей подключиться к криптокошелькам, что потенциально могло привести к краже активов.

LottieFiles, платформа, позволяющая дизайнерам и разработчикам создавать анимацию, выпустила предупреждение о нарушении безопасности пакета npm, которое может подвергнуть пользователей вредоносному коду, предназначенному для взлома криптовалютных кошельков.

Реагирование на инциденты с недавно зараженными версиями Lottie-Player 2.05, 2.06, 2.0.7 Дата/время сообщения: 31 октября 2024 г., 04:00 UTC Инцидент: 30 октября ~ 18:20 UTC – LottieFiles были уведомлены о том, что наш популярный пакет npm с открытым исходным кодом для веб-плеера @lottiefiles/lottie-player… — LottieFiles (@LottieFiles) 31 октября 2024 г.

Реагирование на инциденты с недавно зараженными Lottie-Player версий 2.05, 2.06, 2.0.7 Дата/время сообщения: 31 октября 2024 г., 04:00 UTC Инцидент: 30 октября ~ 18:20 UTC — LottieFiles получили уведомление о том, что наш популярный пакет npm с открытым исходным кодом для веб-плеера @lottiefiles/lottie-player…

В сообщении X от 31 октября LottieFiles сообщил, что уязвимые версии — Lottie Web Player 2.0.5, 2.0.6 и 2.0.7 — были выпущены 30 октября, что вызвало немедленную обеспокоенность после того, как появились многочисленные сообщения пользователей о странных инъекциях кода. В ответ на угрозу LottieFiles выпустил новую версию 2.0.8, вернувшись к безопасному коду.

«Большому количеству пользователей, использующих библиотеку через сторонние CDN без закрепленной версии, автоматически предоставлялась скомпрометированная версия в качестве последней версии». LottieFiles

«Большому количеству пользователей, использующих библиотеку через сторонние CDN без закрепленной версии, автоматически предоставлялась скомпрометированная версия в качестве последней».

LottieFiles

Для тех, кто не может обновиться, LottieFiles рекомендует информировать конечных пользователей о потенциальных мошеннических запросах на подключение кошелька, связанных с Lottie-player. Пользователи также могут выбрать остаться на версии 2.0.4, чтобы избежать риска.

LottieFiles предупредила, что приложения, использующие скомпрометированный пакет npm, могут непреднамеренно побуждать пользователей подключать свои криптокошельки, открывая возможности для потенциальной кражи. Учетная запись разработчика, связанная с вредоносными загрузками, была лишена доступа, а соответствующие токены были отозваны, чтобы остановить любую дальнейшую несанкционированную деятельность, добавила фирма, хотя полный масштаб атаки остается неизвестным.