Popüler Lottiefiles Lotti-Player Projesi, bir tedarik zinciri saldırısında, ziyaretçilerin kripto para birimini çalan web sitelerine bir kripto tahliyesini enjekte etmek için tehlikeye atıldı.
Blockchain Tehdit İzleme Platformu Scam Sniffer, en az bir kurbanın Lottiefiles tedarik zinciri uzlaşması nedeniyle 723.000 dolar değerinde bitcoin kaybettiğini iddia ediyor.
Dün keşfedildiği gibi, garip kod enjeksiyonları hakkında birden fazla kullanıcı raporunun ardından, Lottie Web Player ("Lottie-Player") 2.0.5, 2.0.6 ve 2.0.7, bir kripto cüzdan drenajını web sitelerine enjekte eden kötü amaçlı kod eklemek için değiştirildi. .
Kripto cüzdan drenajları, bir kripto para cüzdanı bağlamak için Web3 istemlerini görüntüleyen web sitelerine enjekte edilen kötü amaçlı komut dosyalarıdır. Ancak, bir kullanıcı cüzdanlarını bağladığında, komut dosyası otomatik olarak "boşaltmaya" veya çalmaya çalışır, tüm varlıkları ve NFT'leri ve bunları tehdit aktörlerine gönderir.
Lottiefiles, temiz 2.0.4'e dayanan 2.0.8 sürümünü hızla yayınladı ve kullanıcılara mümkün olan en kısa sürede yükseltmelerini tavsiye etti.
Lottiefiles CTO Nattu Adnan .. "Sabitlenmiş bir sürüm olmadan üçüncü taraf CDN'ler aracılığıyla kütüphaneyi kullanan çok sayıda kullanıcıya, en son sürüm olarak güvenliği ihlal edilen sürüm olarak hizmet etti."
"Güvenli sürümün yayınlanmasıyla, bu kullanıcılar düzeltmeyi otomatik olarak alacaktı."
En son sürüme geçemeyenler, Lottie-Player son kullanıcıları için riski iletmeli ve hileli kripto para birimi cüzdanı bağlantı istekleri konusunda uyarmalıdır. Sürüm 2.0.4'te kalmak da bir seçenektir.
Lottiefiles, uygulamalara ve web sitelerine gömülebilen hafif vektör tabanlı (ölçeklenebilir) animasyonlar oluşturmak ve paylaşmak için bir hizmet olarak yazılım (SaaS) platformudur.
Daha az güçlü cihazlar, mobil ve web uygulamaları üzerinde minimum performans etkisiyle yüksek kaliteli görsellere izin vermek için popülerdir.
Dün, Lottie-Player komut dosyasını kullanan geliştiriciler, bir tedarik zinciri saldırısından etkilendiklerini keşfettiler ve güvenliği ihlal edilen komut dosyasını kullanan web siteleri aniden bir kripto para cüzdanı bağlamak için istemleri gösteriyorlar.
BleepingComputer, lottie-player JavaScript betiğinin [Virustotal] kötü niyetli sürümünü basit bir HTML sayfasına ekleyerek test etti ve eklendikten sonra komut dosyasının bir kripto tahliyesi yükleyeceğini doğrulayabilir.
Bir ziyaretçi bir cüzdana bağlanmak için düğmelerden birini tıklarsa, komut dosyası kripto para birimi kimlik avı saldırılarında kullanılma geçmişine sahip olan Castleservices01 [.] Com [Virustotal] sitesine bir websocket bağlantısı oluşturur.
Lottiefiles, geliştiricilerinden biri için bir kimlik doğrulama jetonu çalındıktan ve NPM paketinin kötü niyetli sürümlerini yüklemek için kullanıldıktan sonra JavaScript kütüphanesinin tehlikeye atıldığını söylüyor.
Lottiefiles, "Diğer açık kaynak kütüphanelerimizin, açık kaynak kodumuzun, Github depolarımızın ve SaaS'ımızın etkilenmediğini doğruladık."
Platform, dış uzmanların yardımıyla uzlaşmaya ilişkin iç araştırmaya devam ediyor ve olayla ilgili daha fazla ayrıntı gelecekte sunulabilir.
Bu şemada kaybedilen kurban sayısı ve şu anda bilinmemektedir.
Kripto drenajları, kripto para topluluğu için büyük bir sorun haline geldi, tehdit aktörleri iyi bilinen X hesaplarını hackliyor, web sitelerini hackliyor ve kötü niyetli komut dosyalarını kullanan web sitelerini tanıtmak için AI videoları ve kötü amaçlı reklamlar kullanıyor.
2023'te Google ve Twitter reklamları, dokuz ay boyunca 63.210 kurbandan 59 milyon dolar çalan 'MS drenanı' adlı bir kripto para birimi tahliyesi içeren siteleri tanıttı.
Google Play'de Sahte CalletConnect uygulaması Android kullanıcılarının kriptolarını çalıyor
Revival Hack Tedarik Zinciri Saldırısı 22.000 PYPI paketini tehdit ediyor
Lazarus hacker'ları Google Chrome Zero Day'den yararlanmak için sahte defi oyunu kullandı
SEC, Solarwinds ihlallerini küçümsemek için teknoloji şirketlerini ücretlendirir
ABD'de suçlanan siber suç kara para aklama platformlarının Rus operatörleri
Kaynak: Bleeping Computer