هشدار LottieFiles درباره تهدیدات کریپتو
پلتفرم انیمیشن SaaS، LottieFiles، به کاربران درباره تهدیدات کریپتو هشدار داده است. LottieFiles از یک نفوذ در زنجیره تأمین خبر داده که در آن کدهای مخرب میتوانند کاربران را به اتصال کیف پولهای کریپتو ترغیب کنند و احتمال سرقت داراییها وجود دارد.
جزئیات نفوذ امنیتی LottieFiles
LottieFiles، پلتفرمی که به طراحان و توسعهدهندگان امکان ایجاد انیمیشن میدهد، درباره یک نفوذ امنیتی در بسته npm خود هشدار داده است. این نفوذ ممکن است کاربران را در معرض کدهای مخربی قرار دهد که برای به خطر انداختن کیف پولهای کریپتو طراحی شدهاند.
واکنش به نسخههای آلوده Lottie-Player
تاریخ/زمان: 31 اکتبر 2024 ساعت 04:00 صبح به وقت UTC
حادثه: در تاریخ 30 اکتبر حدود ساعت 6:20 بعد از ظهر به وقت UTC، LottieFiles مطلع شد که بسته محبوب منبع باز npm برای وب پلیر @lottiefiles/lottie-player دچار مشکل شده است.
در یک پست در X در تاریخ 31 اکتبر، LottieFiles اعلام کرد که نسخههای آسیبدیده — Lottie Web Player 2.0.5، 2.0.6 و 2.0.7 — در تاریخ 30 اکتبر منتشر شدهاند و پس از گزارشهای متعدد کاربران درباره تزریق کدهای مشکوک، نگرانیهایی ایجاد شد.
اقدامات امنیتی LottieFiles
در پاسخ به این تهدید، LottieFiles نسخه جدیدی به نام 2.0.8 منتشر کرد که به کد امن بازگشته است. "تعداد زیادی از کاربران که از این کتابخانه از طریق CDNهای شخص ثالث بدون نسخه مشخص استفاده میکردند، بهطور خودکار نسخه آلوده را به عنوان آخرین نسخه دریافت کردند."
برای کاربرانی که قادر به بهروزرسانی نیستند، LottieFiles توصیه میکند که کاربران نهایی را درباره درخواستهای احتمالی جعلی اتصال کیف پول که با Lottie-player مرتبط است، مطلع کنند. کاربران همچنین میتوانند برای جلوگیری از خطر، روی نسخه 2.0.4 باقی بمانند.
خطرات استفاده از بسته آلوده
LottieFiles هشدار داد که برنامههایی که از بسته npm آلوده استفاده میکنند ممکن است بهطور ناخواسته کاربران را به اتصال کیف پولهای کریپتو ترغیب کنند و راههایی برای سرقت احتمالی باز شود. حساب توسعهدهنده مرتبط با آپلودهای مخرب از دسترسی محروم شده و توکنهای مرتبط لغو شدهاند تا از هرگونه فعالیت غیرمجاز بیشتر جلوگیری شود، اگرچه هنوز دامنه کامل حمله مشخص نیست.