人気のLottieFiles Lotti-Playerプロジェクトが、訪問者の暗号通貨を盗む暗号ドレイナーをウェブサイトに注入するサプライチェーン攻撃で侵害されました。
ブロックチェーン脅威監視プラットフォームScam Snifferによると、少なくとも1人の被害者がLottieFilesのサプライチェーン侵害により723,000ドル相当のビットコインを失ったとされています。
昨日発見されたように、奇妙なコードインジェクションに関する複数のユーザーからの報告を受けて、Lottie Web Player (“lottie-player”) 2.0.5、2.0.6、2.0.7が昨日修正され、ウェブサイトに暗号ウォレットドレイナーをインジェクションする悪質なコードが含まれていました。
クリプト・ウォレット・ドレイナーは、Webサイトに注入された悪意のあるスクリプトで、暗号通貨ウォレットを接続するためのWeb3プロンプトを表示します。しかし、ユーザーがウォレットを接続すると、スクリプトは自動的にすべてのアセットとNFTを「ドレイン」、つまり窃取し、脅威行為者に送信しようとします。
LottieFilesは、クリーンな2.0.4をベースにしたバージョン2.0.8をすぐにリリースし、ユーザーにできるだけ早くアップグレードするよう勧告しました。
「LottieFilesのCTOであるNattu Adnanは、「サードパーティのCDNを経由してライブラリを使用している多くのユーザーは、バージョンが固定されていないため、危険なバージョンが自動的に最新リリースとして提供されていました。
「安全なバージョンが公開されたことで、これらのユーザーは自動的に修正プログラムを受け取ることができました。
最新リリースにアップグレードできないユーザーは、Lottie-playerのエンドユーザーにリスクを伝え、暗号通貨ウォレットの不正接続要求について警告する必要があります。バージョン2.0.4のままでいることも選択肢の一つです。
LottieFilesは、アプリやウェブサイトに埋め込むことができる軽量のベクターベース(スケーラブル)アニメーションを作成・共有するためのSaaS(Software-as-a-Service)プラットフォームです。
性能の低いデバイスやモバイル、ウェブアプリでも、パフォーマンスへの影響を最小限に抑えながら高品質なビジュアルを実現できることで人気を博している。
サプライチェーン攻撃による暗号ウォレット流出
昨日、Lottie-Playerスクリプトを使用している開発者は、サプライチェーン攻撃の影響を受けていることを発見しました。
Lottie-Playerスクリプトの悪意のあるバージョン[VirusTotal]をシンプルなHTMLページに追加してテストしたところ、スクリプトが追加されると、暗号通貨ドレイナーがロードされることが確認できました。
Source :
訪問者がウォレットに接続するボタンの1つをクリックすると、スクリプトは、暗号通貨フィッシング攻撃で使用された過去を持つサイトcastleservices01[.]com[VirusTotal]にWebSocket接続を行います。
ソースは こちら:
LottieFilesは、開発者の1人の認証トークンが盗まれ、悪意のあるバージョンのnpmパッケージのアップロードに使用された後、同社のJavaScriptライブラリが侵害されたと述べています。
「他のオープンソースライブラリ、オープンソースコード、Githubリポジトリ、SaaSは影響を受けていないことを確認しています。
同プラットフォームは、外部の専門家の協力を得て、今回の侵害に関する内部調査を継続しており、今後、インシデントに関する詳細が明らかになる可能性がある。
このスキームによって失われた正確な被害者数と暗号通貨の金額は、現時点では不明である。
暗号通貨流出者は暗号通貨コミュニティにとって大規模な問題となっており、脅威行為者は有名なXアカウントを ハッキングし、ウェブサイトをハッキングし、AI動画や悪意のある広告を利用して悪意のあるスクリプトを利用するウェブサイトを宣伝している。
2023年には、GoogleとTwitterの広告が「MS Drainer」と名付けられた暗号通貨ドレイナーを含むサイトを宣伝し、9カ月間で6万3,210人の被害者から5,900万ドルを盗んだ。
Comments