Масштабний інцидент кібербезпеки стався з популярною платформою LottieFiles, яка широко використовується для створення векторної анімації на веб-сайтах. Зловмисники провели успішну атаку на ланцюг поставок, внаслідок якої отримали можливість впроваджувати шкідливий код на численні веб-ресурси через компонент Lottie-Player.
Хронологія та механізм кібератаки
31 жовтня 2024 року користувачі бібліотеки Lottie-Player виявили аномальну активність на своїх веб-сайтах. Технічний аналіз підтвердив наявність шкідливого коду у версіях 2.0.5-2.0.7, спрямованого на несанкціоноване заволодіння криптовалютними активами відвідувачів. Зловмисники використали викрадений токен автентифікації розробника для завантаження модифікованих версій пакету до npm-репозиторію.
Технічні аспекти компрометації
Впроваджений шкідливий код демонстрував користувачам фішингові запити на підключення криптогаманців. При успішній активації скрипт автоматично ініціював передачу криптовалюти та NFT-токенів на підконтрольні зловмисникам адреси. Особливу небезпеку становило автоматичне оновлення бібліотеки через CDN, що призвело до масового поширення скомпрометованих версій.
Індикатори компрометації та технічні деталі
Дослідники виявили встановлення WebSocket-з’єднання зі зловмисним доменом castleservices01[.]com, раніше пов’язаним з криптовалютними фішинговими кампаніями. Цей домен використовувався для координації атак та отримання викрадених активів.
Наслідки та масштаб інциденту
Хоча повний масштаб атаки ще встановлюється, вже зафіксовано значні фінансові втрати. Найбільший підтверджений випадок – викрадення біткоінів на суму понад 700 000 доларів США у одного з користувачів. Розробники LottieFiles підтвердили, що інші опенсорсні бібліотеки та GitHub-репозиторії проекту не постраждали.
Заходи реагування та рекомендації
Для усунення загрози випущено версію 2.0.8, засновану на перевіреному коді версії 2.0.4. Фахівці з кібербезпеки наполегливо рекомендують негайно оновити бібліотеку та провести повний аудит систем. Додатково варто впровадити механізми фіксації версій залежностей та посилити заходи захисту, включаючи багатофакторну автентифікацію для розробників.
Цей інцидент яскраво демонструє критичну важливість захисту ланцюгів поставок програмного забезпечення. Організаціям необхідно впроваджувати комплексний підхід до безпеки, включаючи регулярний моніторинг змін у сторонніх компонентах, аудит коду та використання інструментів автоматизованого сканування вразливостей для запобігання подібним атакам у майбутньому.
