TradingView’in bildirdiğine göre, site ve uygulama animasyonlarını oynatmak için yaygın olarak kullanılan bir web bileşeni olan Lottie Player’ı içeren bir tedarik zinciri uzlaşması, popüler merkezi olmayan finans uygulamalarının kullanıcıları cüzdanlarını bağlamaya teşvik eden açılır pencereler göstermesine neden oldu.
Açılır pencere (Kaynak: Lottie Player GitHub deposu)
Bunu yapan kullanıcıların (ki görünüşe göre en az bir kurban vardı) cüzdanları boşaltılmıştı.
Lottie Oyuncu uzlaşması
Web sitesi yöneticileri, Çarşamba günü LottieFiles forumlarında ve Lottie Player GitHub deposunda açılır pencereden şikayet etmeye ve yanıtlar istemeye başladı.
Oynatıcıyı geliştiren şirket bugün erken saatlerde şunu doğruladı: “30 Ekim ~ 18:20 UTC – LottieFiles’a, web oynatıcısı @lottiefiles/lottie-player için popüler açık kaynak npm paketimizin, kötü amaçlı kodla gönderilen yetkisiz yeni sürümlerin olduğu bildirildi.”
“Sürüm 2.0.5, 2.0.6, 2.0.7 doğrudan şu adreste yayınlandı: [the main npm registry] gerekli ayrıcalıklara sahip bir geliştiricinin güvenliği ihlal edilmiş erişim jetonunu kullanarak bir saat boyunca.”
Bu sürümler, açılır pencereyi göstermek ve kullanıcıların kripto cüzdanlarına bağlanmak için kod içeriyordu ve “sabitlenmiş bir sürüm olmadan üçüncü taraf CDN’ler aracılığıyla kitaplığı kullanan çok sayıda kullanıcıya, en son sürüm olarak tehlikeye atılan sürüm otomatik olarak sunuldu.”
Şirket, dotLottie oynatıcısının, açık kaynak kitaplıklarının, açık kaynak kodunun, Github depolarının ve SaaS hizmetlerinin de etkilenmediğini söylüyor.
Ne yapalım?
Tehdit aktörleri düzenli olarak npmjs’de kötü amaçlı paketler yayınlamayı veya yasal paketleri ele geçirmeyi başarıyor.
Lottie Player’ın yeni bir güvenli sürümü (v2.0.8) yayınlandı ve güvenliği ihlal edilen paket sürümleri npm kayıt defterinden kaldırıldı.
LottieFiles Mühendislikten Sorumlu Başkan Yardımcısı Jawish Hameed, “Yeni 2.0.8 sürümü CDN’lerde en son sürüm olarak sunuluyor ve bu, birçok kişi için sorunu çözecektir (ancak en iyi uygulama olarak sabit bir sürümün kullanılmasını şiddetle tavsiye ederiz),” diye onayladı.
Güncelleme mümkün değilse ziyaretçiler ve uygulama kullanıcıları, kripto cüzdanlarını bağlama girişimlerini kabul etmemeleri konusunda uyarılmalıdır.
Şirket, “LottieFiles olay müdahale planı üzerinde çalışmaya devam ediyor ve aynı zamanda uzlaşmanın daha fazla araştırılmasına yardımcı olmak için harici bir olay müdahale ekibini de görevlendirdi” dedi.
Saldırganların bu saldırıda ne kadar kripto para çalmayı başardıklarını zaman gösterecek.