LottieFiles reveló un compromiso en la cadena de suministro en el que un código malicioso podría atraer a los usuarios para que conecten billeteras criptográficas, lo que podría conducir al robo de activos.
LottieFiles, una plataforma que permite a diseñadores y desarrolladores crear animaciones, ha emitido una advertencia sobre una brecha de seguridad relacionada con su paquete npm, que puede exponer a los usuarios a código malicioso diseñado para comprometer las billeteras criptográficas.
En una publicación X el 31 de octubre, LottieFiles dijo que las versiones afectadas (Lottie Web Player 2.0.5, 2.0.6 y 2.0.7) se lanzaron el 30 de octubre, lo que generó preocupaciones inmediatas después de que surgieran múltiples informes de usuarios sobre inyecciones de código extraño. En respuesta a la amenaza, LottieFiles lanzó una nueva versión, 2.0.8, volviendo al código seguro.
“Un gran número de usuarios que utilizaban la biblioteca a través de CDN de terceros sin una versión fijada recibieron automáticamente la versión comprometida como la última versión”.
LottieFiles
Para aquellos que no pueden actualizar, LottieFiles recomienda informar a los usuarios finales sobre posibles mensajes de conexión de billetera fraudulentos asociados con el reproductor Lottie. Los usuarios también pueden optar por permanecer en la versión 2.0.4 para evitar riesgos.
LottieFiles advirtió que las aplicaciones que utilizan el paquete npm comprometido pueden inadvertidamente solicitar a los usuarios que conecten sus billeteras criptográficas, abriendo vías para posibles robos. Se ha privado del acceso a la cuenta de desarrollador vinculada a las cargas maliciosas y se han revocado los tokens relacionados para detener cualquier actividad no autorizada adicional, añadió la empresa, aunque se desconoce el alcance total del ataque.
