LottieFiles разкри, че нейният npm пакет „lottie-player“ е бил компрометиран като част от атака по веригата за доставки, което я накара да пусне актуализирана версия на библиотеката.

„На 30 октомври ~18:20 UTC – LottieFiles бяха уведомени, че нашият популярен npm пакет с отворен код за уеб плейър @lottiefiles/lottie-player е имал неоторизирани нови версии, прокарани със зловреден код“, заяви компанията в изявление на X. “Това не оказва влияние върху нашия плейър dotlottie и/или услугата SaaS.“

LottieFiles е платформа за работа с анимации, която дава възможност на дизайнерите да създават, редактират и споделят анимации в JSON-базиран формат на анимационни файлове, наречен Lottie. Тя е и разработчикът, който стои зад пакета npm, наречен lottie-player, който позволява вграждането и възпроизвеждането на анимации Lottie в уебсайтове.

Според компанията „на голям брой потребители, използващи библиотеката чрез CDN на трети страни без прикачена версия, автоматично е била сервирана компрометираната версия като последна версия“.

Злонамерените версии на пакета съдържаха код, който подканваше потребителите да свържат портфейлите си с криптовалута, с вероятната цел да източат средствата им. На потребителите, които са на версии 2.0.5, 2.0.6 и 2.0.7, се препоръчва да актуализират до 2.0.8.

„Версиите 2.0.5, 2.0.6, 2.0.7 бяха публикувани директно на https://npmjs.com в рамките на един час с помощта на компрометиран токен за достъп от разработчик с необходимите привилегии“, отбелязват от LottieFiles.

Освен че е публикувана поправка, трите измамни версии са били премахнати от хранилището за пакети npm. LottieFiles заяви, че също така е активирала своя план за реагиране при инциденти и е ангажирала външен екип за реагиране при инциденти, който да подпомогне разследването.