„LottieFiles“ paskelbė, kad tam tikrose „npm“ paketo versijose yra kenkėjiško kodo, kuris ragina vartotojus prijungti savo kriptovaliutų pinigines, kad jas būtų galima ištuštinti.
Kaip paaiškėjo vakar, po kelių vartotojų pranešimų apie keistus kodo įvedimus, paveiktos versijos yra „Lottie Web Player“ („lottie-player“) 2.0.5, 2.0.6 ir 2.0.7, visos paskelbtos vakar.
„LottieFiles“ greitai išleido naują 2.0.8 versiją, pagrįstą švaria 2.0.4 versija, patardama vartotojams kuo greičiau ją atnaujinti.
„Daugeliui vartotojų, naudojančių biblioteką per trečiųjų šalių CDN be prisegtos versijos, automatiškai buvo pateikta pažeista versija kaip naujausia versija“, – aiškina LottieFiles.
„Paskelbus saugią versiją, tie vartotojai būtų automatiškai gavę pataisymą.
Tie, kurie negali atnaujinti į naujausią versiją, turėtų pranešti apie riziką Lottie grotuvo galutiniams vartotojams ir įspėti juos apie nesąžiningus kriptovaliutos piniginės prisijungimo užklausas. Taip pat galima pasirinkti 2.0.4 versiją.
„LottieFiles“ yra programinės įrangos kaip paslaugos (SaaS) platforma, skirta kurti ir bendrinti lengvas vektorines (keičiamo dydžio) animacijas, kurias galima įterpti į programas ir svetaines.
Jis populiarus dėl to, kad leidžia gauti aukštos kokybės vaizdinius vaizdus su minimaliu našumo poveikiu mažesniuose įrenginiuose, mobiliuosiuose įrenginiuose ir žiniatinklio programose.
Anksčiau šiandien „LottieFiles“ paskelbė pranešimą apie tiekimo grandinės kompromisą, pažymėdama, kad jis turi įtakos tik „npm“ paketui, o ne „SaaS“ paslaugoms.
Matyt, programos ir svetainės, kuriose yra kenkėjiška „Lottie Web Player“ versija, teikė naudotojams raginimus prisijungti prie piniginės, o tai leidžia grėsmės subjektams perkelti skaitmeninį turtą į jų valdomas pinigines.
Šaltinis: GitHub
Kūrėjo paskyrai, kuri buvo naudojama sugadintoms npm paketo versijoms įkelti, buvo atimta visa prieiga, o susiję prieigos raktai buvo atšaukti, kad būtų užblokuota kenkėjiška veikla.
„Patvirtinome, kad kitos mūsų atvirojo kodo bibliotekos, atvirojo kodo kodas, „Github“ saugyklos ir „SaaS“ nebuvo paveikti“, – patikina LottieFiles.
Platforma tęsia vidinį kompromiso tyrimą pasitelkdama išorės ekspertus, o daugiau informacijos apie incidentą gali gauti ateityje.
„Blockchain“ grėsmių stebėjimo platforma „Scam Sniffer“ praneša, kad bent viena auka prarado 723 000 USD vertės „Bitcoin“ dėl „LottieFiles“ tiekimo grandinės kompromiso.
Rašymo metu tikslus aukų skaičius ir prarastos kriptovaliutos kiekis dėl šios schemos nežinomi.
