LottieFiles, npm paketi “lottie-player”ın bir tedarik zinciri saldırısının parçası olarak ele geçirildiğini açıkladı ve kütüphanenin güncellenmiş bir sürümünü yayınlamasını istedi.
Şirket, X hakkında yaptığı bir açıklamada, “30 Ekim ~ 18:20 UTC’de – LottieFiles’a, web oynatıcısı @lottiefiles/lottie-player için popüler açık kaynak npm paketimizin, kötü amaçlı kodla gönderilen yetkisiz yeni sürümlerin olduğu bildirildi.” dedi. “Bu, dotlottie oynatıcımızı ve/veya SaaS hizmetimizi etkilemez.”
LottieFiles, tasarımcıların Lottie adı verilen JSON tabanlı bir animasyon dosyası formatında animasyonlar oluşturmasına, düzenlemesine ve paylaşmasına olanak tanıyan bir animasyon iş akışı platformudur. Ayrıca, Lottie animasyonlarının web sitelerine yerleştirilmesine ve oynatılmasına izin veren lottie-player adlı bir npm paketinin arkasındaki geliştiricidir.
Şirkete göre, “sabitlenmiş bir sürüm olmadan kitaplığı üçüncü taraf CDN’ler aracılığıyla kullanan çok sayıda kullanıcıya, en son sürüm olarak güvenliği ihlal edilmiş sürüm otomatik olarak sunuldu.”
Paketin kötü amaçlı sürümleri, muhtemelen fonlarını boşaltma hedefiyle kullanıcıları kripto para cüzdanlarını bağlamaya yönlendiren kod içeriyordu. 2.0.5, 2.0.6 ve 2.0.7 sürümlerini kullanan kullanıcıların 2.0.8 sürümüne güncellemeleri önerilir.
LottieFiles, “2.0.5, 2.0.6, 2.0.7 sürümleri, gerekli ayrıcalıklara sahip bir geliştiricinin güvenliği ihlal edilmiş erişim belirteci kullanılarak bir saat boyunca doğrudan https://npmjs.com adresinde yayınlandı.” dedi.
Bir düzeltme yayınlamanın yanı sıra, üç hileli sürüm de npm paket deposunda yayından kaldırıldı. LottieFiles ayrıca olay müdahale planını etkinleştirdiğini ve soruşturmaya yardımcı olması için harici bir olay müdahale ekibini görevlendirdiğini söyledi.