LottieFiles je otkrio da je njegov npm paket “lottie-player” kompromitovan kao dio napada na lanac snabdijevanja, što ga je navelo da objavi ažuriranu verziju biblioteke.
“30. oktobra ~18:20 UTC – LottieFiles je obaviješten da je naš popularni npm paket otvorenog koda za web player @lottiefiles/lottie-player neovlašteno progurao nove verzije sa maliciozni kodom”, navodi se u saopštenju kompanije X. “Ovo ne utiče na naš dotlottie player i/ili SaaS uslugu.”
LottieFiles je platforma za radni tok animacije koja omogućava dizajnerima da kreiraju, uređuju i dijele animacije u JSON formatu datoteke animacije pod nazivom Lottie. To je takođe programer koji stoji iza npm paketa pod nazivom lottie-player , koji omogućava ugrađivanje i igranje Lottie animacija na web stranicama.
Prema navodima kompanije, “velikom broju korisnika koji koriste biblioteku preko CDN-ova trećih strana bez zakačene verzije automatski je servirana kompromitovana verzija kao najnovija verzija.”
Maliciozne verzije paketa sadržavale su kod koji je podstakao korisnike da povežu svoje novčanike za kriptovalute, s vjerovatnim ciljem da isprazne svoja sredstva. Korisnicima koji koriste verzije 2.0.5, 2.0.6 i 2.0.7 preporučuje se ažuriranje na 2.0.8.
“Verzije 2.0.5, 2.0.6, 2.0.7 su objavljene direktno na https://npmjs.com tokom jednog sata koristeći kompromitovani pristupni token od programera sa potrebnim privilegijama”, primetio je LottieFiles.
Osim objavljivanja popravka, tri lažne verzije su poništene iz npm spremišta paketa. LottieFiles je rekao da je takođe aktivirao svoj plan odgovora na incidente i angažirao vanjski tim za odgovor na incidente da pomogne u istrazi.
Izvor:The Hacker News
