LottieFiles mengungkap adanya kompromi rantai pasokan di mana kode berbahaya dapat memikat pengguna agar menghubungkan dompet kripto, yang berpotensi menyebabkan pencurian aset.
LottieFiles, sebuah platform yang memungkinkan desainer dan pengembang untuk membuat animasi, telah mengeluarkan peringatan mengenai pelanggaran keamanan yang melibatkan paket npm-nya, yang dapat membuat pengguna terpapar kode berbahaya yang dirancang untuk membahayakan dompet kripto.
Respons Insiden untuk Lottie-Player versi 2.05, 2.06, 2.0.7Comm yang Baru Terinfeksi Tanggal/Waktu: 31 Okt 2024 04:00 UTCInsiden: Pada 30 Oktober ~6:20 UTC – LottieFiles diberitahu bahwa paket npm sumber terbuka populer kami untuk pemutar web @lottiefiles/lottie-player…
— LottieFiles (@LottieFiles) 31 Oktober 2024
Dalam posting X pada 31 Oktober, LottieFiles mengatakan bahwa versi yang terpengaruh — Lottie Web Player 2.0.5, 2.0.6, dan 2.0.7 — dirilis pada 30 Oktober, yang langsung menimbulkan kekhawatiran setelah banyak laporan pengguna muncul tentang penyuntikan kode aneh. Sebagai tanggapan terhadap ancaman tersebut, LottieFiles merilis versi baru, 2.0.8, yang kembali ke kode aman.
“Sejumlah besar pengguna yang menggunakan pustaka melalui CDN pihak ketiga tanpa versi yang disematkan secara otomatis disajikan versi yang disusupi sebagai rilis terbaru.”
Berkas Lottie
Anda mungkin juga menyukai: Detektif anti-penipuan Web3 mengungkap serangan phishing yang menghabiskan $4,2 juta menggunakan opcode berbahaya
Bagi mereka yang tidak dapat memperbarui, LottieFiles menyarankan untuk memberi tahu pengguna akhir tentang kemungkinan permintaan koneksi dompet palsu yang terkait dengan Lottie-player. Pengguna juga dapat memilih untuk tetap menggunakan versi 2.0.4 untuk menghindari risiko.
LottieFiles memperingatkan bahwa aplikasi yang menggunakan paket npm yang disusupi dapat secara tidak sengaja meminta pengguna untuk menghubungkan dompet kripto mereka, sehingga membuka jalan bagi potensi pencurian. Akun pengembang yang ditautkan ke unggahan berbahaya tersebut telah dicabut aksesnya, dan token terkait telah dicabut untuk menghentikan aktivitas tidak sah lebih lanjut, imbuh firma tersebut, meskipun tingkat serangan sepenuhnya masih belum diketahui.
Baca selengkapnya: Repositori GitHub mengungkap kata sandi dan kode internal Binance