Търсене
Close this search box.

LottieFiles разкри, че нейният npm пакет „lottie-player“ е бил компрометиран като част от атака по веригата за доставки, което я накара да пусне актуализирана версия на библиотеката.

„На 30 октомври ~18:20 UTC – LottieFiles бяха уведомени, че нашият популярен npm пакет с отворен код за уеб плейър @lottiefiles/lottie-player е имал неоторизирани нови версии, прокарани със зловреден код“, заяви компанията в изявление на X. “Това не оказва влияние върху нашия плейър dotlottie и/или услугата SaaS.“

LottieFiles е платформа за работа с анимации, която дава възможност на дизайнерите да създават, редактират и споделят анимации в JSON-базиран формат на анимационни файлове, наречен Lottie. Тя е и разработчикът, който стои зад пакета npm, наречен lottie-player, който позволява вграждането и възпроизвеждането на анимации Lottie в уебсайтове.

Според компанията „на голям брой потребители, използващи библиотеката чрез CDN на трети страни без прикачена версия, автоматично е била сервирана компрометираната версия като последна версия“.

Злонамерените версии на пакета съдържаха код, който подканваше потребителите да свържат портфейлите си с криптовалута, с вероятната цел да източат средствата им. На потребителите, които са на версии 2.0.5, 2.0.6 и 2.0.7, се препоръчва да актуализират до 2.0.8.

„Версиите 2.0.5, 2.0.6, 2.0.7 бяха публикувани директно на https://npmjs.com в рамките на един час с помощта на компрометиран токен за достъп от разработчик с необходимите привилегии“, отбелязват от LottieFiles.

Освен че е публикувана поправка, трите измамни версии са били премахнати от хранилището за пакети npm. LottieFiles заяви, че също така е активирала своя план за реагиране при инциденти и е ангажирала външен екип за реагиране при инциденти, който да подпомогне разследването.

Източник: The Hacker News

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
Бъдете социални
Още по темата
07/12/2024

Компрометирана е библиотека...

При поредната атака по веригата за...
30/11/2024

Загубите от хакове и измами...

През ноември загубите на криптовалута от...
27/11/2024

Операция „Серенгети“: 1006 ...

Интерпол арестува 1006 заподозрени в Африка...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!