Популярная платформа для создания векторной анимации LottieFiles подверглась серьезной атаке на цепочку поставок, в результате которой злоумышленники получили возможность внедрять вредоносный код на множество веб-сайтов, использующих компонент Lottie-Player.
Подробности инцидента и механизм атаки
31 октября 2024 года пользователи Lottie-Player начали фиксировать подозрительную активность на своих веб-ресурсах, включая несанкционированные инъекции кода и появление всплывающих окон. Технический анализ показал, что версии библиотеки 2.0.5, 2.0.6 и 2.0.7 содержали вредоносный код, нацеленный на хищение криптовалютных активов посетителей сайтов.
Техническая реализация вредоносной кампании
Злоумышленники использовали похищенный токен аутентификации одного из разработчиков для загрузки модифицированных версий пакета в npm-репозиторий. Вредоносный код демонстрировал посетителям сайтов запросы на подключение криптовалютных кошельков. При успешном подключении скрипт автоматически инициировал передачу криптовалюты и NFT-токенов на контролируемые злоумышленниками адреса.
Технические индикаторы компрометации
Исследователи выявили, что вредоносный код устанавливал WebSocket-соединение с доменом castleservices01[.]com, ранее замеченным в криптовалютных фишинговых кампаниях. Особую опасность представляло автоматическое обновление библиотеки через CDN, что привело к широкому распространению скомпрометированных версий.
Масштаб атаки и последствия
Хотя точное количество пострадавших пока не установлено, уже зафиксированы существенные финансовые потери. Как минимум один пользователь сообщил о хищении биткоинов на сумму более 700 000 долларов. Разработчики LottieFiles подтвердили, что атака не затронула другие опенсорсные библиотеки и GitHub-репозитории проекта.
Меры по устранению последствий
В качестве экстренной меры реагирования выпущена версия LottieFiles 2.0.8, основанная на проверенной версии 2.0.4. Специалисты по безопасности настоятельно рекомендуют всем пользователям немедленно обновить библиотеку до актуальной версии и провести аудит систем на предмет возможной компрометации.
Данный инцидент подчеркивает критическую важность безопасности цепочек поставок программного обеспечения и необходимость использования механизмов фиксации версий зависимостей при работе с внешними библиотеками. Разработчикам рекомендуется внедрять дополнительные меры защиты, включая многофакторную аутентификацию и регулярный мониторинг изменений в используемых компонентах.
