LottieFiles a annoncé que des versions spécifiques de son package npm contiennent un code malveillant qui invite les utilisateurs à connecter leurs portefeuilles de crypto-monnaie afin qu’ils puissent être vidés.
Comme découvert hier, à la suite de plusieurs rapports d’utilisateurs sur des injections de code étranges, les versions concernées sont Lottie Web Player (“lottie-player”) 2.0.5, 2.0.6 et 2.0.7, toutes publiées hier.
LottieFiles a rapidement publié une nouvelle version, 2.0.8, basée sur la version 2.0.4 propre, conseillant aux utilisateurs de la mettre à niveau dès que possible.
“Un grand nombre d’utilisateurs utilisant la bibliothèque via des CDN tiers sans version épinglée ont automatiquement reçu la version compromise en tant que dernière version”, explique LottieFiles.
« Avec la publication de la version sécurisée, ces utilisateurs auraient automatiquement reçu le correctif.”
Ceux qui ne peuvent pas passer à la dernière version doivent communiquer le risque aux utilisateurs finaux de Lottie-player et les avertir des demandes de connexion frauduleuses à un portefeuille de crypto-monnaie. Rester sur la version 2.0.4 est également une option.
LottieFiles est une plate-forme SaaS (software-as-a-service) permettant de créer et de partager des animations vectorielles légères (évolutives) pouvant être intégrées dans des applications et des sites Web.
Il est populaire pour permettre des visuels de haute qualité avec un impact minimal sur les performances des appareils moins puissants, des applications mobiles et Web.
Plus tôt dans la journée, Lottie Files a publié une annonce sur le compromis de la chaîne d’approvisionnement, notant qu’il n’affecte que le package npm et non ses services SaaS.
Apparemment, les applications et les sites incorporant une version malveillante des invites de connexion au portefeuille des utilisateurs du serveur Lottie Web Player, ce qui permet ensuite aux acteurs de la menace de transférer des actifs numériques vers des portefeuilles sous leur contrôle.
Le compte de développeur qui a été utilisé pour télécharger les versions falsifiées du package npm a été privé de tout accès et les jetons associés ont été révoqués pour bloquer l’activité malveillante.
” Nous avons confirmé que nos autres bibliothèques open source, notre code open source, nos référentiels Github et notre SaaS n’étaient pas affectés », assure LottieFiles.
La plateforme poursuit son enquête interne sur la compromission avec l’aide d’experts externes, et plus de détails sur l’incident pourraient être disponibles à l’avenir.
On ignore s’il y a eu des victimes de ce stratagème, combien et combien d’argent a été perdu à cause des connexions frauduleuses au portefeuille de crypto-monnaie.