Анимация за 10 BTC: LottiePlayer стал жертвой невидимого скрипта

Компания LottieFiles, разработчик популярного плагина для анимации LottiePlayer, стала жертвой кибератаки, направленной на кражу криптовалют пользователей.

В компании сообщили, что разработчик с высоким уровнем доступа к ресурсам компании стал жертвой атаки, в результате которой были украдены сессионные токены. Это позволило преступникам внести изменения в код LottiePlayer, который подключал криптокошельки пользователей к ресурсам злоумышленникам с целью хищения средств.

Проблемы начали обсуждаться на форумах, когда пользователи, посещавшие сайты с внедрённой библиотекой LottiePlayer, стали замечать подозрительные всплывающие окна. Окна запрашивали подключение кошельков, что вызвало волну вопросов и предположений о возможной компрометации.

Пример всплывающего окна (источник: Ismail )

Киберпреступники внедрили 3 новых версии плагина LottiePlayer (2.0.5, 2.0.6 и 2.0.7) на платформе npmjs, с разницей в несколько минут. Изменения стали первыми обновлениями плагина за последние 2 месяца, что вызвало дополнительное внимание сообщества. Те сайты, которые были настроены на автоматическое получение последней версии LottiePlayer, автоматически получили заражённые обновления, что ставило под угрозу безопасность их пользователей.

LottieFiles подтвердила, что 30 октября компания была проинформирована о несанкционированных обновлениях в своём популярном пакете LottiePlayer для npm. В результате оперативного вмешательства был привлечён сторонний эксперт по безопасности, после чего злоумышленника удалили из сети, а безопасная версия (2.0.8) стала доступна пользователям.

Компания также рекомендовала администраторам сайтов, которые не могут обновиться до безопасной версии, использовать предыдущую надёжную версию плагина (2.0.4) и предупредить клиентов о необходимости игнорировать всплывающие запросы на подключение криптокошельков.

LottieFiles отметила, что другие библиотеки, исходный код и репозитории на GitHub, а также SaaS-продукты компании не подверглись воздействию атаки, благодаря чему основная экосистема осталась в безопасности.

Несмотря на отсутствие данных о точном количестве пострадавших пользователей, известно, что проект LottiePlayer является широко популярным и насчитывает около 94 000 скачиваний в неделю. С момента запуска общий объём загрузок превысил 4 миллиона. В то же время, платформа Scam Sniffer обнаружила транзакцию, свидетельствующую о том, что один из пострадавших потерял около 10 BTC (около $722 500 на момент инцидента).