Інтерфейсні веб-сайти кількох криптовалютних онлайн-додатків були зламані 30 жовтня після того, як зловмисники ввели шкідливий код в оновлення популярної та широко використовуваної анімаційної Library.
Децентралізовані фінансові програми, включно з 1inch і TEN Finance, показали спливаючі вікна з проханням підключити свій гаманець, який насправді був призначений для дрейнера криптовалюти «Ace Drainer», — повідомила платформа безпеки криптовалют Blockaid у дописі від 30 жовтня.
Гал Наглі, керівник служби безпеки у фірмі з кібербезпеки Wiz, пояснив, що компрометація сталася внаслідок «масованої атаки на ланцюжок поставок» на Lottie Player Library — надзвичайно популярний сервіс, який надає анімацію для сайтів і програм, користуючись такими користувачами, як Apple, Spotify і Disney..
Атака є унікальною, оскільки вона впровадила зловмисне спливаюче вікно на веб-сайт, який, здавалося б, не постраждав. Зловмисники зазвичай зламують облікові записи в соціальних мережах з великою кількістю читачів, щоб обманом змусити підписників натиснути фішингові посилання на підроблених веб-сайтах.
Джавіш Хамід, віце-президент із розробки LottieFiles — фірми, яка публікує анімацію Library — написав на GitHub, що уражені версії Library видалено, і закликав користувачів установити останню версію.
Він сказав, що зловмисники скомпрометували обліковий запис GitHub старшого інженера-програміста LottieFiles і встановили три шкідливі оновлення за три години, додавши, що це «видалило скомпрометований доступ до облікового запису».
За темою: Хакер, який стоїть за фальшивою публікацією Bitcoin ETF X, не визнає себе винним
Наглі з Wiz сказав, що користувачі бачили спливаюче вікно зловмисного підключення до гаманця криптовалюти «на популярних веб-сайтах по всьому Інтернету».
«Схоже, що початкова мета атаки полягала в тому, щоб націлитися на основні веб-сайти криптовалют, які використовують Library», — додав він.
Наглі попередив, що веб-сайти, які все ще використовують уражені версії Library, «ймовірно, все ще вразливі», сказавши, що користувачі повинні перевірити, чи сайти використовують нешкідливі пакети — або версії 2.0.4, або останньої версії 2.0.8.
LottieFiles не відразу відповів на запит про коментар.
Crypto-Sec: 2 аудитори не помічають недолік Penpie на суму 27 мільйонів доларів, помилку Pythia «претензії винагороди»
