Se abusó de una popular herramienta de animación en línea para engañar a las personas para que entregaran el acceso a sus billeteras de criptomonedas, y al menos una persona perdió cerca de $700,000.
LottieFiles es una plataforma que proporciona herramientas y una biblioteca para crear, editar y compartir animaciones ligeras y escalables en formato Lottie. Estas animaciones, junto con el complemento LottiePlayer, se utilizan habitualmente en sitios web y aplicaciones móviles con 94.000 descargas semanales y se han descargado más de 4 millones de veces desde su lanzamiento.
Recientemente, un actor de amenazas anónimo obtuvo de alguna manera una cookie de sesión de uno de los desarrolladores de LottieFiles y utilizó ese acceso para enviar tres nuevas versiones de LottiePlayer (2.0.5, 2.0.6 y 2.0.7) a npmjs. A los sitios web que usan LottiePlayer y que fueron configurados para usar siempre la última versión se les descargaron las versiones maliciosas automáticamente.
Nueva versión lanzada
Estas nuevas versiones incitaron a los visitantes del sitio web a conectar sus billeteras de criptomonedas, lo que básicamente le da al sitio acceso a los fondos almacenados. No sabemos cuántas personas cayeron en el truco y conectaron sus billeteras, pero sí sabemos que al menos una persona lo hizo y le costó 10 btcque es de 696.960 dólares al momento de esta publicación. Esta información vino de Rastreador de estafasuna plataforma Web3 antiestafa.
“El 30 de octubre a las 6:20 p. m. UTC, se notificó a LottieFiles que nuestro popular paquete npm de código abierto para el reproductor web @lottiefiles/lottie-player tenía nuevas versiones no autorizadas enviadas con código malicioso“, escribió el cofundador y director de tecnología del proyecto, Nattu Adnan, en GitHub. “Esto no afecta a nuestro reproductor dotlottie y/o servicios SaaS. Como resultado, nuestros planes de respuesta a incidentes se activaron. Pedimos disculpas por este inconveniente y estamos comprometidos a garantizar la seguridad de nuestros usuarios, clientes, sus usuarios finales, desarrolladores y nuestros empleados”.
El atacante fue rápidamente expulsado y se lanzó una nueva versión, la 2.0.8. Esta es una copia de la última versión segura, que fue 2.0.4.
“Hemos confirmado que nuestras otras bibliotecas de código abierto, código fuente abierto, repositorios de GitHub y nuestro SaaS no se vieron afectados”.
A través de El Registro
