La plateforme d'animation SaaS LottieFiles expose les utilisateurs aux menaces crypto

LottieFiles a révélé une compromission de la chaîne d’approvisionnement dans laquelle un code malveillant pourrait inciter les utilisateurs à connecter des portefeuilles crypto, potentiellement menant au vol d’actifs.

LottieFiles, une plateforme qui permet aux designers et aux développeurs de créer des animations, a émis un avertissement concernant une violation de sécurité impliquant son package npm, qui pourrait exposer les utilisateurs à un code malveillant conçu pour compromettre les portefeuilles de crypto-monnaie.

Dans un message X du 31 octobre, LottieFiles a déclaré que les versions affectées - Lottie Web Player 2.0.5, 2.0.6 et 2.0.7 - ont été publiées le 30 octobre, suscitant des inquiétudes immédiates après la propagation de plusieurs rapports d’utilisateurs sur des injections de code étranges. En réponse à la menace, LottieFiles a publié une nouvelle version, la 2.0.8, revenant au code sécurisé.

“Un grand nombre d’utilisateurs utilisant la bibliothèque via des CDN tiers sans une version épinglée ont automatiquement reçu la version compromis en tant que dernière mise à jour.”

LottieFiles

Pour ceux qui ne peuvent pas mettre à jour, LottieFiles recommande d’informer les utilisateurs finaux des éventuelles invitations de connexion de portefeuille frauduleux associées au lecteur Lottie. Les utilisateurs peuvent également choisir de rester en version 2.0.4 pour éviter les risques.

LottieFiles a averti que les applications utilisant le package npm compromis pourraient involontairement inciter les utilisateurs à connecter leurs portefeuilles de crypto, ouvrant des voies potentielles de vol. Le compte du développeur lié aux téléchargements malveillants a été dépouillé de son accès et les jetons associés ont été révoqués pour stopper toute activité non autorisée ultérieure, a ajouté l’entreprise, bien que l’étendue complète de l’attaque reste inconnue.