Eine kritische Supply-Chain-Attacke auf die weitverbreitete Animations-Plattform LottieFiles hat zahlreiche Websites kompromittiert. Die Angreifer manipulierten den beliebten Lottie-Player, um bösartigen Code einzuschleusen und Kryptowährungen von Website-Besuchern zu stehlen.
Chronologie und technische Details des Angriffs
Am 31. Oktober 2024 meldeten Nutzer des Lottie-Players verdächtige Aktivitäten auf ihren Webseiten. Eine forensische Analyse ergab, dass die Versionen 2.0.5 bis 2.0.7 der Bibliothek mit schädlichem JavaScript-Code infiziert waren. Die Angreifer erlangten Zugriff auf das NPM-Repository durch einen kompromittierten Entwickler-Token.
Funktionsweise der Malware
Der eingeschleuste Code zielte speziell auf Krypto-Wallets der Website-Besucher ab. Nach erfolgreicher Verbindung mit den Wallets initiierte die Malware automatisch Überweisungen von Kryptowährungen und NFTs an die von den Angreifern kontrollierten Adressen. Die Kommunikation erfolgte über eine WebSocket-Verbindung zum Domain castleservices01[.]com.
Besondere Gefährdungslage durch CDN-Distribution
Die Verwendung von Content Delivery Networks (CDN) für die automatische Aktualisierung der Bibliothek führte zu einer rapiden Verbreitung der kompromittierten Versionen. Dies erhöhte die Reichweite des Angriffs erheblich und erschwerte die schnelle Eindämmung.
Schadensbilanz und Gegenmaßnahmen
Während das vollständige Ausmaß der Attacke noch ermittelt wird, wurden bereits erhebliche finanzielle Verluste dokumentiert. In einem bestätigten Fall wurden Bitcoin im Wert von über 700.000 US-Dollar entwendet. Als Sofortmaßnahme veröffentlichte das LottieFiles-Team Version 2.0.8, die auf dem sicheren Code-Stand 2.0.4 basiert.
Dieser Vorfall unterstreicht die wachsende Bedrohung durch Supply-Chain-Angriffe im JavaScript-Ökosystem. Entwickler sollten ihre Abhängigkeiten durch Version-Pinning fixieren, Multi-Faktor-Authentifizierung implementieren und automatische Updates kritisch hinterfragen. Eine regelmäßige Überprüfung der eingebundenen Bibliotheken auf Integritätsverletzungen ist unerlässlich für die Aufrechterhaltung der Anwendungssicherheit.
