Popüler LottieFiles Lotti-Player projesi, ziyaretçilerin kripto para birimini çalan web sitelerine kripto emici enjekte etmek amacıyla yapılan bir tedarik zinciri saldırısında ele geçirildi.
Blockchain tehdit izleme platformu Scam Sniffer, LottieFiles tedarik zinciri ihlali nedeniyle en az bir kurbanın 723.000 dolar değerinde Bitcoin kaybettiğinin iddia edildiğini bildirdi.
Dün keşfedildiği gibi, garip kod enjeksiyonlarıyla ilgili çok sayıda kullanıcı raporunun ardından, Lottie Web Player (“lottie-player”) 2.0.5, 2.0.6 ve 2.0.7, web sitelerine kripto cüzdanı boşaltıcısı enjekte eden kötü amaçlı kodları içerecek şekilde dün değiştirildi .
Kripto cüzdanı süzgeçleri, bir kripto para birimi cüzdanına bağlanmak için web3 istemlerini görüntüleyen web sitelerine enjekte edilen kötü amaçlı komut dosyalarıdır. Ancak bir kullanıcı cüzdanını bağladığında, komut dosyası otomatik olarak tüm varlıkları ve NFT’leri “boşaltmaya” veya çalmaya çalışacak ve bunları tehdit aktörlerine gönderecektir.
LottieFiles, temiz 2.0.4’ü temel alan 2.0.8 sürümünü hızla yayınladı ve kullanıcılara mümkün olan en kısa sürede yükseltme yapmalarını tavsiye etti.
LottieFiles CTO’su Nattu Adnan şöyle açıklıyor: “Kütüphaneyi, sabitlenmiş bir sürümü olmayan üçüncü taraf CDN’ler aracılığıyla kullanan çok sayıda kullanıcıya, en son sürüm olarak güvenliği ihlal edilmiş sürüm otomatik olarak sunuldu.”
“Güvenli sürümün yayınlanmasıyla birlikte bu kullanıcılar düzeltmeyi otomatik olarak almış olacak.”
En son sürüme yükseltme yapamayanlar, riski Lottie oyuncusu son kullanıcılarına bildirmeli ve onları sahte kripto para birimi cüzdanı bağlantı istekleri konusunda uyarmalıdır. 2.0.4 sürümünde kalmak da bir seçenektir.
LottieFiles, uygulamalara ve web sitelerine yerleştirilebilen hafif vektör tabanlı (ölçeklenebilir) animasyonlar oluşturmaya ve paylaşmaya yönelik bir hizmet olarak yazılım (SaaS) platformudur.
Daha az güçlü cihazlarda, mobil ve web uygulamalarında minimum performans etkisi ile yüksek kaliteli görsellere izin vermesi nedeniyle popülerdir.
Tedarik zinciri saldırısı kripto cüzdanı süzücüyü yüklüyor
Dün, Lottie-Player betiğini kullanan geliştiriciler, bir tedarik zinciri saldırısından etkilendiklerini keşfettiler; ele geçirilen betiği kullanan web siteleri aniden bir kripto para birimi cüzdanına bağlanmaya yönelik istemler görüntülediler.
BleepingComputer, Lottie-Player JavaScript komut dosyasının kötü amaçlı sürümünü test etti [VirusTotal] Bunu basit bir HTML sayfasına ekleyerek betiğin bir kez eklendiğinde bir kripto boşaltıcı yükleyeceğini doğrulayabilirsiniz.
Kaynak: BleepingComputer
Bir ziyaretçi bir cüzdana bağlanmak için düğmelerden birine tıklarsa, komut dosyası siteye bir WebSocket bağlantısı kuracaktır. kale hizmetleri01[.]iletişim [VirusTotal]kripto para birimi kimlik avı saldırılarında kullanılma geçmişine sahip.
Kaynak: BleepingComputer
LottieFiles, geliştiricilerinden birinin kimlik doğrulama belirtecinin çalınması ve npm paketinin kötü amaçlı sürümlerini yüklemek için kullanılmasının ardından JavaScript kitaplığının tehlikeye girdiğini söylüyor.
LottieFiles, “Diğer açık kaynak kitaplıklarımızın, açık kaynak kodumuzu, Github depolarımızı ve SaaS’ımızı etkilemediğini doğruladık” diye garanti ediyor.
Platform, dış uzmanların yardımıyla uzlaşmaya ilişkin dahili araştırmasını sürdürüyor ve gelecekte olayla ilgili daha fazla ayrıntı açıklanabilir.
Bu plan nedeniyle kaybedilen kurbanların kesin sayısı ve kripto para biriminin miktarı şu anda bilinmiyor.
Tehdit aktörlerinin iyi bilinen X hesaplarını hacklemesi, web sitelerini hacklemesi ve kötü amaçlı komut dosyalarını kullanan web sitelerini tanıtmak için yapay zeka videoları ve kötü amaçlı reklamlar kullanması nedeniyle, kripto zararlıları kripto para birimi topluluğu için büyük bir sorun haline geldi.
2023’te Google ve Twitter reklamları, dokuz ay içinde 63.210 kurbandan 59 milyon dolar çalan ‘MS Drainer’ adlı kripto para toplayıcıyı içeren siteleri tanıttı.