LottieFiles разкри, че нейният npm пакет „lottie-player“ е бил компрометиран като част от атака по веригата за доставки, което я накара да пусне актуализирана версия на библиотеката.
„На 30 октомври ~18:20 UTC – LottieFiles бяха уведомени, че нашият популярен npm пакет с отворен код за уеб плейър @lottiefiles/lottie-player е имал неоторизирани нови версии, прокарани със зловреден код“, заяви компанията в изявление на X. “Това не оказва влияние върху нашия плейър dotlottie и/или услугата SaaS.“
LottieFiles е платформа за работа с анимации, която дава възможност на дизайнерите да създават, редактират и споделят анимации в JSON-базиран формат на анимационни файлове, наречен Lottie. Тя е и разработчикът, който стои зад пакета npm, наречен lottie-player, който позволява вграждането и възпроизвеждането на анимации Lottie в уебсайтове.
Според компанията „на голям брой потребители, използващи библиотеката чрез CDN на трети страни без прикачена версия, автоматично е била сервирана компрометираната версия като последна версия“.
Злонамерените версии на пакета съдържаха код, който подканваше потребителите да свържат портфейлите си с криптовалута, с вероятната цел да източат средствата им. На потребителите, които са на версии 2.0.5, 2.0.6 и 2.0.7, се препоръчва да актуализират до 2.0.8.
„Версиите 2.0.5, 2.0.6, 2.0.7 бяха публикувани директно на https://npmjs.com в рамките на един час с помощта на компрометиран токен за достъп от разработчик с необходимите привилегии“, отбелязват от LottieFiles.
Освен че е публикувана поправка, трите измамни версии са били премахнати от хранилището за пакети npm. LottieFiles заяви, че също така е активирала своя план за реагиране при инциденти и е ангажирала външен екип за реагиране при инциденти, който да подпомогне разследването.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.