2024-11-02T12:14:51+03:00
ספריית JavaScript פופולרית וחבילת npm לוטי נגן סבל ממתקפת שרשרת אספקה: התוקפים שחררו שלוש גרסאות חדשות של הרכיב בבת אחת תוך מספר שעות. כתוצאה מכך, משתמשים שמורידים את הספרייה עלולים להיות בסכנה חמורה, שכן גרסאות חדשות הכילו קוד זדוני המכוון לארנקים של מטבעות קריפטוגרפיים. כתוצאה מכך מתקפת דיוג לפחות משתמש אחד הפסיד כ-10 BTC (כ-$723,000).
גרסאות חדשות של החבילה בשם @lottiefiles/lottie-player (2.0.5, 2.0.6 ו-2.0.7) פורסמו ב-npmjs.com, הרישום הגדול ביותר של JavaScript. בעבר, החבילה נותרה ללא שינוי מאז מרץ 2024, אז שוחררה גרסה יציבה 2.0.4. עם זאת, הגרסאות המעודכנות הביאו באופן בלתי צפוי קוד זדוני שגרם למשתמשים לחבר את ארנקי המטבעות הקריפטוגרפיים שלהם, כגון MetaMask, Exodus ו-Coinbase, באמצעות חלונות קופצים. גרסאות לגיטימיות של החבילה לא הכילו פונקציות כאלה, מה שאפשר לזהות במהירות שינויים זדוניים.
איום מסוים נוצר מהפצה אוטומטית של קוד זדוני דרך רשתות אספקת תוכן (CDNs). משתמשים שנכנסו לאתרי אינטרנט באמצעות Lottie Player התמודדו עם חלונות קופצים פתאומיים שביקשו מהם לחבר ארנקי מטבעות קריפטוגרפיים לאתר. חלונות אלו נראו כמו הממשקים הרשמיים של שירותי קריפטו פופולריים, אך הוגדרו כך שישתלטו על הנכסים הפיננסיים של המשתמשים. העדכונים הזדוניים כללו ממשקים מזויפים המבוססים על SDKs רשמיים של ארנק קריפטו, שיצרו אשליה נוספת של אבטחה.
המתקפה התאפשרה הודות לאסימון גישה שנפרץ של אחד המפתחים, שהיה לו את הזכויות הדרושות לפרסום גרסאות חדשות. LottieFiles הסירה מיידית את הגירסאות הנגועות 2.0.5–2.0.7 והוציאה עדכון מאובטח 2.0.8, אשר משכפל בדיוק את הפונקציונליות של הגרסה היציבה 2.0.4. לאותם משתמשים שאינם יכולים לעדכן באופן מיידי, מומלץ לחזור זמנית לגרסה היציבה הקודמת, וגם להזהיר את משתמשי הקצה על הסיכונים בחיבור ארנקי קריפטו למשאבים חיצוניים.
הפסדים כספיים בקנה מידה גדול ממתקפת פישינג נרשמו הודות לפלטפורמת האנטי-פישינג Scam Sniffer, שאישרה אובדן של לפחות משתמש אחד בסכום של 10 BTC (כ-723,000$). למרות שהמספר המדויק של המשתמשים שהושפעו עדיין לא ידוע, המתקפה הייתה לקח רציני עבור מפתחים ומשתמשים, והראתה עד כמה חשובים אמצעי הזהירות בעבודה עם קוד קוד פתוח.
מומחי אבטחה ממליצים למפתחים המשתמשים בספריות מ-CDN של צד שלישי להשתמש בנעילת גרסאות כדי למנוע קבלת עדכונים זדוניים אוטומטית. כמו כן, מומלץ להשתמש במדיניות אבטחת תוכן קפדנית (CSP), אשר מפחיתה את הסיכון להכנסת קוד צד שלישי לאתר.
האירוע היה תזכורת לחשיבות ניהול שרשרת האספקה ומעקב אחר בטיחות הספריות בשימוש. בסביבה של היום, התקפות כאלה על קוד קוד פתוח הופכות יותר ויותר מתוחכמות, ותוקפים יכולים להשתמש בממשקים מזויפים ובשיטות מתוחכמות כדי להחדיר קוד זדוני.
