LottieFiles anunció que versiones específicas de su paquete npm contienen código malicioso que solicita a los usuarios que conecten sus billeteras de criptomonedas para poder vaciarlas.
Como se descubrió ayer, luego de múltiples informes de usuarios sobre inyecciones de código extraño, las versiones afectadas son Lottie Web Player (“lottie-player”) 2.0.5, 2.0.6 y 2.0.7, todas publicadas ayer.
LottieFiles lanzó rápidamente una nueva versión, 2.0.8, que se basa en la limpia 2.0.4, y recomienda a los usuarios que la actualicen lo antes posible.
«Un gran número de usuarios que utilizaban la biblioteca a través de CDN de terceros sin una versión fijada recibieron automáticamente la versión comprometida como la última versión», explica LottieFiles.
«Con la publicación de la versión segura, esos usuarios habrían recibido automáticamente la solución».
Aquellos que no puedan actualizar a la última versión deben comunicar el riesgo a los usuarios finales de Lottie-player y advertirles sobre solicitudes fraudulentas de conexión a billeteras de criptomonedas. Mantener la versión 2.0.4 también es una opción.
LottieFiles es una plataforma de software como servicio (SaaS) para crear y compartir animaciones ligeras basadas en vectores (escalables) que pueden integrarse en aplicaciones y sitios web.
Es popular por permitir imágenes de alta calidad con un impacto mínimo en el rendimiento en dispositivos, móviles y aplicaciones web menos potentes.
Hoy, LottieFiles publicó un anuncio sobre el compromiso de la cadena de suministro, señalando que solo afecta el paquete npm y no sus servicios SaaS.
Aparentemente, las aplicaciones y los sitios que incorporan una versión maliciosa de Lottie Web Player enviaron a los usuarios mensajes de conexión de billetera, lo que luego permite a los actores de amenazas transferir activos digitales a billeteras bajo su control.
A la cuenta de desarrollador que se utilizó para cargar las versiones manipuladas del paquete npm se le quitó todo acceso y se revocaron los tokens asociados para bloquear la actividad maliciosa.
«Hemos confirmado que nuestras otras bibliotecas de código abierto, código fuente abierto, repositorios de Github y nuestro SaaS no se vieron afectados», asegura LottieFiles.
La plataforma continúa su investigación interna del compromiso con la ayuda de expertos externos, y es posible que en el futuro se proporcionen más detalles sobre el incidente.
Se desconoce si ha habido víctimas de este esquema, cuántas y cuánto dinero se perdió debido a las conexiones fraudulentas de billeteras de criptomonedas.