LottieFiles, платформа для создания анимаций, столкнулась с хакерской атакой. Вредоносный код был обнаружен в некоторых версиях их npm пакета. Этот код побуждал пользователей подключить свои криптокошельки, после чего средства из них похищались.
Злоумышленники успели внедрить свой код в версии Lottie Web Player 2.0.5, 2.0.6, и 2.0.7, которые были выпущены вчера. Сразу после обнаружения проблемы компания выпустила обновление 2.0.8, основанное на безопасной версии 2.0.4, и порекомендовала всем пользователям срочно обновиться.
По сообщению LottieFiles, множество пользователей, использующих библиотеку через сторонние CDN без зафиксированной версии, автоматически получили зараженную версию. С выходом новой, безопасной версии, эта проблема была решена.
Компания отстранила разработчика, через аккаунт которого были загружены компрометированные версии, и заблокировала все связанные с ним токены доступа.
Пока что непонятно, сколько именно пользователей и какое количество криптовалюты было украдено. Однако известно, что один из пострадавших потерял $723,000 в биткоинах.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.