动画工具 Lottie Player 遭遇供应链攻击,导致 72.3 万美元比特币被盗

CN
Decrypt
关注
3小时前

一次重大的安全漏洞影响了多个去中心化应用程序(dApps),攻击源于注入到Lottie Player中的恶意代码,这是一种广泛使用的JavaScript动画库。

此次攻击利用了Lottie Player的npm包的最新更新,特别是在版本2.0.5到2.0.7中,黑客在显示网站动画的JSON文件中嵌入了恶意代码。

根据Scam Sniffer的消息,至少有一名个人在不知情的情况下签署了与该漏洞相关的钓鱼交易,损失了10 BTC(约72.3万美元),该平台旨在保护用户免受在线欺诈。

监控此事件的网络安全平台Blockaid在周三确认攻击者部署了一个假钱包连接提示,导致用户连接到“Ace Drainer”恶意软件,该软件模仿合法连接以欺骗用户。

根据Blockaid的说法,黑客在Lottie Player的文件中添加了有害代码,将这些动画变成潜在诈骗的入口。实际上,当用户访问带有此受损库的网站时,他们会看到假弹窗,要求他们连接他们的数字钱包。

然而,这些提示由黑客控制,可能会使他们未经授权访问用户的资金。

针对此次攻击,LottieFiles的工程副总裁Jawish Hameed在周三确认受影响的版本已从npm中移除,并发布了一个安全版本(2.0.8)。

LottieFiles在被问及评论时,指向其公开的声明,说明事件的经过。

Hameed指出,此次漏洞涉及一名高级工程师的GitHub账户,攻击者在周二的短短三小时内推送了三次受损更新。

LottieFiles随后撤销了受影响开发者账户的所有访问权限,并采取进一步措施以防止未来事件的发生。

这种“供应链攻击”——黑客渗透广泛使用的软件,许多网站依赖于此——可能会产生广泛的后果。在这种情况下,受损的Lottie Player版本被自动引入到许多网站,使黑客更容易接触到用户。

去中心化聚合平台1inch是此次攻击的主要目标之一,在社交媒体上用户保证,只有其网页dApp受到影响,钱包应用和核心协议仍然安全。

广泛使用的库和工具中的安全漏洞已成为一个关键问题,因为黑客利用这些漏洞访问毫无防备的用户资产。

本月早些时候,一名PEPE代币持有者在不知情的情况下签署了一个恶意的Permit2交易,损失了139万美元。编辑:Sebastian Sinclair

免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

分享至:
APP下载

X

Telegram

Facebook

Reddit

复制链接