LottieFiles ha revelado que su paquete npm “lottie-player” se vio comprometido como parte de un ataque a la cadena de suministro, lo que lo llevó a lanzar una versión actualizada de la biblioteca.
“El 30 de octubre a las 6:20 p. m. UTC, se notificó a LottieFiles que nuestro popular paquete npm de código abierto para el reproductor web @lottiefiles/lottie-player tenía nuevas versiones no autorizadas con código malicioso”, dijo la compañía en un comunicado en X. “Esto no afecta a nuestro reproductor dotlottie ni a nuestro servicio SaaS”.
LottieFiles es una plataforma de flujo de trabajo de animación que permite a los diseñadores crear, editar y compartir animaciones en un formato de archivo de animación basado en JSON llamado Lottie. También es el desarrollador detrás de un paquete npm llamado lottie-player, que permite incrustar y reproducir animaciones de Lottie en sitios web.
Según la compañía, “una gran cantidad de usuarios que utilizan la biblioteca a través de CDN de terceros sin una versión fijada recibieron automáticamente la versión comprometida como la última versión”.
Las versiones maliciosas del paquete contenían código que incitaba a los usuarios a conectar sus billeteras de criptomonedas, con el probable objetivo de agotar sus fondos. Se recomienda a los usuarios que tengan las versiones 2.0.5, 2.0.6 y 2.0.7 que actualicen a la 2.0.8.
“Las versiones 2.0.5, 2.0.6, 2.0.7 se publicaron directamente en https://npmjs.com en el transcurso de una hora utilizando un token de acceso comprometido de un desarrollador con los privilegios requeridos”, señaló LottieFiles.
Además de publicar una solución, las tres versiones maliciosas han sido despublicadas del repositorio de paquetes npm. LottieFiles dijo que también activó su plan de respuesta a incidentes y contrató a un equipo externo de respuesta a incidentes para ayudar con la investigación.