LottieFiles, npm paketi “lottie-player”ın bir tedarik zinciri saldırısının parçası olarak ele geçirildiğini açıkladı ve kütüphanenin güncellenmiş bir sürümünü yayınlamasını istedi.
Şirket, “30 Ekim ~ 18:20 UTC’de – LottieFiles’a, web oynatıcısı @lottiefiles/lottie-player için popüler açık kaynak npm paketimizin, kötü amaçlı kodla birlikte gönderilen yetkisiz yeni sürümlerin olduğu bildirildi” dedi. söz konusu X hakkında yapılan bir açıklamada “Bu, dotlottie oynatıcımızı ve/veya SaaS hizmetimizi etkilemez.”
LottieFiles, tasarımcıların Lottie adı verilen JSON tabanlı bir animasyon dosyası formatında animasyonlar oluşturmasına, düzenlemesine ve paylaşmasına olanak tanıyan bir animasyon iş akışı platformudur. Aynı zamanda adlı bir npm paketinin arkasındaki geliştiricidir. Lotie oyuncusuLottie animasyonlarının web sitelerine yerleştirilmesine ve oynatılmasına olanak tanır.
Şirkete göre, “sabitlenmiş bir sürüm olmadan kitaplığı üçüncü taraf CDN’ler aracılığıyla kullanan çok sayıda kullanıcıya, en son sürüm olarak güvenliği ihlal edilmiş sürüm otomatik olarak sunuldu.”
kötü amaçlı sürümler paketin içerilen kod Bu, muhtemelen fonlarını boşaltma hedefiyle kullanıcıları kripto para cüzdanlarını bağlamaya teşvik etti. 2.0.5, 2.0.6 ve 2.0.7 sürümlerini kullanan kullanıcıların 2.0.8’e güncellemeleri önerilir.
LottieFiles, “Sürüm 2.0.5, 2.0.6, 2.0.7, gerekli ayrıcalıklara sahip bir geliştiricinin güvenliği ihlal edilmiş erişim jetonunu kullanarak bir saat boyunca doğrudan https://npmjs.com’da yayınlandı.” dedi.
Bir düzeltme yayınlamanın yanı sıra, üç hileli sürüm de npm paket deposunda yayından kaldırıldı. LottieFiles ayrıca olay müdahale planını etkinleştirdiğini ve soruşturmaya yardımcı olması için harici bir olay müdahale ekibini görevlendirdiğini söyledi.