LottieFiles har blitt utsatt for et sikkerhetsbrudd der en angriper fikk tilgang til npmjs.com-kontoen til en utvikler som jobbet med animasjonspluginen @lottiefiles/lottie-player. Det skriver The Register.
Angriperen skal ifølge et blogginnlegg fra LottieFiles' CTO Nattu Adnan ha klart å publisere nye versjoner av LottiePlayer med skadevare som kan koble seg til brukeres krypto-lommebøker og potensielt tappe disse for penger.
LottieFiles står bak animasjonsplattformen med samme navn, som bruker det JSON-baserte animasjons-filformatet Lottie som i sin tid ble laget av AirBnb.
Animasjonsløsningen er svært vanlig å bruke i blant annet mobilapper og på nettsider, og brukes av store selskaper som Disney, Spotify, Apple, TikTok, Google og mange andre. Nærmere bestemt 9,5 millioner designere og utviklere i over 280.000 selskaper, ifølge dem selv.
Brukere fikk popups
Den berørte pluginen er den som brukes for å spille av Lottie-animasjoner på web-sider.
Ifølge The Register fikk angriperen tilgang til kontoen til en Lottie-utvikler via et stjålet session token. Deretter kunne angriperen pushe ut versjoner av LottiePlayer-pluginen med skadevare.
Dette ble oppdaget da Lottie-brukere for noen dager siden begynte å melde om at de fikk opp popups når de lastet inn siste versjon av JavaScript-koden til LottiePlayer på sine nettsider. I popupen ble brukerne bedt om å koble til sin kryptolommebok.
Attention Bubble (or any dev, for that matter) community!
— David Bressler 📊 (@bresslertweets) October 30, 2024
If you are using LottieFiles within your app, remove it immediately.
Their library has been hacked, resulting in the popup below showing to your users. pic.twitter.com/7fzw05ZmLS
– Den må ha blitt kompromittert for å gjøre et forsyningskjedeangrep. En god lærepenge til oss og andre om å ikke bruke @latest når vi laster inn eksterne biblioteker, skriver utvikleren "Eric4".
Berørte få brukere
Nattu Adnan skriver i sitt blogginnlegg at sikkerhetsbruddet berørte et begrenset antall brukere som baserte seg på å automatisk laste ned siste versjon av @lottiefiles/lottie-player-pakken, spesielt via offentlige CDN-er.
– Vi agerte raskt for å publisere en "ren" versjon og jobbet med NPM og globale CDN-tilbydere for å fjerne de berørte versjonene.
Versjonene som er berørt er:
- CDN-brukere: Nettsider som bruker @lottiefiles/lottie-player@latest direkte fra en CDN ble midlertidig berørt av versjoner som hadde skadevare (2.0.5, 2.0.6, 2.0.7). Etter lansering av den sikre versjonen (2.0.8) får også de som har tidligere (usikre) versjoner den sikre versjonen.
- NPM-brukere: Brukere som la til pakken via npm i løpet av den korte perioden der de usikre versjonene var tilgjengelig, må snarest mulig oppdatere til versjon 2.0.8.
Lottie og BodyMovin til React Native-animasjoner
Vil forhindre at det skjer igjen
LottieFiles skriver at de nå har tatt grep for å sikre at noen lignende ikke skal skje igjen.
De har blant annet styrket sikkerheten rundt pålogging/autentisering, og sørget for at det ikke lenger er mulig for én enkelt konto å publisere oppdateringer.
Selskapet har også sjekket at ikke noe av deres øvrige kildekode på GitHub eller andre steder er berørt. I tillegg har de fått inn eksterne sikkerhetseksperter til å gå gjennom alle rutiner.
