Исследователи ReversingLabs обнаружили атаку по цепочке поставок на пакет npm @lottiefiles/lottie-player, версии 2.0.5, 2.0.6 и 2.0.7 которого содержали вредоносный код, предназначенный для кражи криптовалюты с кошельков web3.
Описание
Атака осуществлялась с использованием скомпрометированного токена доступа разработчика, что позволило злоумышленникам опубликовать испорченные версии. Когда пользователи сталкивались с всплывающими окнами этих версий с просьбой подключиться к кошелькам web3, соблюдение правил приводило к тому, что злоумышленники могли выкачивать средства из кошельков. Сравнение чистой версии 2.0.4 и взломанной версии 2.0.7 выявило значительные изменения, включая минификацию вредоносного кода и включение URL-адресов, связанных с сервисами обмена биткоинов, что обычно не является частью lotti-player.js. В ответ на обнаруженные изменения сопровождающие LottieFiles удалили вредоносные версии и опубликовали новую, безопасную версию 2.0.8.
Взлом Lottie-player показывает, как при успешном использовании этой тактики злоумышленники могут взломать и заразить популярные, широко используемые пакеты с открытым исходным кодом. Он также демонстрирует, как злоумышленники могут использовать учетные записи с привилегированным доступом для захвата учетных записей сопровождающих. Таким образом, они могут публиковать вредоносные версии пакетов, нарушая целостность программного обеспечения и создавая уязвимости в цепочке поставок, которые затрагивают пользователей и разработчиков различных проектов.
Indicators of Compromise
SHA1
- 446996c35a4188647361733b4c7175b2aeea9611
- 5bbd2290a7de5a4736fdafe171f5b6eae6abc27e
- 846f2efc0212317b5e44690234995ba7e269dee3
