Фронтальные веб-сайты нескольких онлайн-крипто-приложений были скомпрометированы 30 октября после того, как злоумышленники внедрили вредоносный код в обновление популярной и широко используемой библиотеки анимаций.
Децентрализованные финансовые приложения, включая 1inch и TEN Finance, показывали всплывающие окна, предлагающие пользователям подключить свой кошелек, который на самом деле предназначался для крипто-дренера "Ace Drainer," сообщила платформа криптозащиты Blockaid в посте в X 30 октября.
Гал Нагли, руководитель безопасности в кибербезопасной компании Wiz, объяснил, что компрометация произошла в результате "масштабной атаки на цепочку поставок" на библиотеку Lottie Player — чрезвычайно популярный сервис, который предоставляет анимации для сайтов и приложений, имеющий таких пользователей, как Apple, Spotify и Disney.
Источник: Blockaid
Атака уникальна тем, что внедрила вредоносное всплывающее окно на, казалось бы, иначе не затронутом сайте. Злоумышленники, как правило, взламывают высоко подписанные аккаунты в социальных сетях, чтобы обмануть подписчиков на нажатие фишинговых ссылок на поддельные сайты.
Джавиш Хамид, вице-президент по инженерии в LottieFiles — компании, которая публикует библиотеку анимаций — написал на GitHub, что затронутые версии библиотеки были удалены и призвал пользователей установить последнюю версию.
Он сказал, что злоумышленники скомпрометировали аккаунт GitHub старшего инженера-программиста LottieFiles и за три часа выпустили три вредоносных обновления, добавив, что "удалили доступ к скомпрометированному аккаунту."
Нагли из Wiz сказал, что пользователи видели всплывающее окно с вредоносным подключением криптокошелька "на популярных веб-сайтах по всему интернету."
«Кажется, что первоначальная цель атаки заключалась в том, чтобы нацелиться на крупные крипто-сайты, которые используют библиотеку», добавил он.
Нагли предупредил, что веб-сайты, которые все еще используют затронутые версии библиотеки, "вероятно, все еще уязвимы", сказав, что пользователи должны проверить, используют ли сайты не вредоносные пакеты — либо версию 2.0.4, либо последнюю 2.0.8.
LottieFiles не сразу ответили на запрос о комментарии.
Crypto-Sec: 2 аудитора пропустили недостаток в 27 миллионов долларов в Penpie, ошибка 'возврат средств' Pythia