LottieFiles revelou que seu pacote npm “lottie-player” foi comprometido como parte de um ataque à cadeia de suprimentos, o que o levou a lançar uma versão atualizada da biblioteca.
“Em 30 de outubro, aproximadamente 18h20 UTC – LottieFiles foi notificado de que nosso in style pacote npm de código aberto para o internet participant @lottiefiles/lottie-player tinha novas versões não autorizadas enviadas com código malicioso”, disse a empresa em um comunicado no X. “Isso não afeta nosso participant dotlottie e/ou serviço SaaS.”
LottieFiles é uma plataforma de fluxo de trabalho de animação que permite aos designers criar, editar e compartilhar animações em um formato de arquivo de animação baseado em JSON chamado Lottie. É também o desenvolvedor por trás de um pacote npm chamado lottie-player, que permite incorporar e reproduzir animações Lottie em websites.
De acordo com a empresa, “um grande número de usuários que usam a biblioteca por meio de CDNs de terceiros sem uma versão fixada receberam automaticamente a versão comprometida como a versão mais recente”.
As versões maliciosas do pacote continham código que levava os usuários a conectar suas carteiras de criptomoedas, com o provável objetivo de esgotar seus fundos. Recomenda-se que os usuários que estão nas versões 2.0.5, 2.0.6 e 2.0.7 atualizem para 2.0.8.
“As versões 2.0.5, 2.0.6, 2.0.7 foram publicadas diretamente em https://npmjs.com ao longo de uma hora usando um token de acesso comprometido de um desenvolvedor com os privilégios necessários”, observou LottieFiles.
Além de lançar uma correção, as três versões não autorizadas foram despublicadas do repositório de pacotes npm. LottieFiles disse que também ativou seu plano de resposta a incidentes e contratou uma equipe externa de resposta a incidentes para ajudar na investigação.