Інтерфейсні веб-сайти кількох криптовалютних онлайн-додатків були зламані 30 жовтня після того, як зловмисники ввели шкідливий код в оновлення популярної та широко використовуваної анімаційної Library.
Децентралізовані фінансові програми, включно з 1inch і TEN Finance, показали спливаючі вікна з проханням підключити свій гаманець, який насправді був призначений для дрейнера криптовалюти «Ace Drainer», — повідомила платформа безпеки криптовалют Blockaid у дописі від 30 жовтня.
Гал Наглі, керівник служби безпеки у фірмі з кібербезпеки Wiz, пояснив, що компрометація сталася внаслідок «масованої атаки на ланцюжок поставок» на Lottie Player Library — надзвичайно популярний сервіс, який надає анімацію для сайтів і програм, користуючись такими користувачами, як Apple, Spotify і Disney..
Атака є унікальною, оскільки вона впровадила зловмисне спливаюче вікно на веб-сайт, який, здавалося б, не постраждав. Зловмисники зазвичай зламують облікові записи в соціальних мережах з великою кількістю читачів, щоб обманом змусити підписників натиснути фішингові посилання на підроблених веб-сайтах.
Джавіш Хамід, віце-президент із розробки LottieFiles — фірми, яка публікує анімацію Library — написав на GitHub, що уражені версії Library видалено, і закликав користувачів установити останню версію.
Він сказав, що зловмисники скомпрометували обліковий запис GitHub старшого інженера-програміста LottieFiles і встановили три шкідливі оновлення за три години, додавши, що це «видалило скомпрометований доступ до облікового запису».
За темою: Хакер, який стоїть за фальшивою публікацією Bitcoin ETF X, не визнає себе винним
Наглі з Wiz сказав, що користувачі бачили спливаюче вікно зловмисного підключення до гаманця криптовалюти «на популярних веб-сайтах по всьому Інтернету».
«Схоже, що початкова мета атаки полягала в тому, щоб націлитися на основні веб-сайти криптовалют, які використовують Library», — додав він.
Наглі попередив, що веб-сайти, які все ще використовують уражені версії Library, «ймовірно, все ще вразливі», сказавши, що користувачі повинні перевірити, чи сайти використовують нешкідливі пакети — або версії 2.0.4, або останньої версії 2.0.8.
LottieFiles не відразу відповів на запит про коментар.
Crypto-Sec: 2 аудитори не помічають недолік Penpie на суму 27 мільйонів доларів, помилку Pythia «претензії винагороди»
Невідоме PR-агентство, яке стверджує, що знає справжню особу творця біткойнів Сатоші Накамото, каже, що розкриє…
Гігант з майнінгу біткойнів Riot Platforms зафіксував зростання доходу на 65% порівняно з минулим роком,…
Акції торгової платформи Robinhood після закінчення робочого дня впали на 12,4% після того, як її…
MicroStrategy Майкла Сейлора готується залучити 42 мільярди доларів протягом наступних трьох років, щоб накопичити більше…
Керуючий криптовалютними активами Canary Capital подав заявку на спотовий біржовий фонд Solana (ETF) до регулятора…
В аналізі, опублікованому на X, Таран Сабхарвал, генеральний директор Stix — провідної позабіржової торгової платформи,…