Herramienta de Animación Lottie Player Sufre Ataque a la Cadena de Suministro: ¡Robo de $723K en Bitcoin! Descubre Más
Una importante violación de seguridad ha afectado a múltiples aplicaciones descentralizadas (dApps), con el ataque originándose desde un código malicioso inyectado en Lottie Player, una biblioteca de animación en JavaScript ampliamente utilizada.
Detalles del Ataque
El ataque explotó las actualizaciones recientes del paquete npm de Lottie Player, específicamente en las versiones 2.0.5 a 2.0.7, donde los hackers incrustaron código malicioso dentro de archivos JSON que muestran animaciones en los sitios web.
Al menos un individuo perdió 10 BTC (US$723,000) tras firmar inadvertidamente una transacción de phishing vinculada a la brecha, según Scam Sniffer, una plataforma diseñada para proteger a los usuarios del fraude en línea.
- Confirmación de Blockaid: Blockaid, una plataforma de ciberseguridad que monitoriza el incidente, confirmó el miércoles que los atacantes desplegaron un falso aviso de conexión de cartera, conduciendo a los usuarios al malware drainer «Ace Drainer», que imita conexiones legítimas para engañar a los usuarios.
- Puntos de Acceso a Fraudes: Según Blockaid, los hackers añadieron código dañino en los archivos de Lottie Player, convirtiendo estas animaciones en puntos de entrada para potenciales estafas. Esencialmente, cuando los usuarios visitaban sitios con esta biblioteca comprometida, veían ventanas emergentes falsas solicitando que conectaran sus billeteras digitales.
Respuesta y Mitigación del Ataque
En respuesta al ataque, el vicepresidente de ingeniería de LottieFiles, Jawish Hameed, confirmó el miércoles que las versiones afectadas fueron eliminadas de npm y se lanzó una versión segura (2.0.8).
LottieFiles señaló a Decrypt a su declaración pública sobre los eventos cuando se le pidió un comentario. Hameed señaló que la brecha involucró la cuenta de GitHub de un ingeniero senior, a través del cual los atacantes lanzaron tres actualizaciones comprometidas en solo tres horas el martes.
- Acciones Preventivas: LottieFiles ha revocado desde entonces todo acceso de la cuenta del desarrollador afectada y ha tomado más medidas para prevenir incidentes futuros.
Implicaciones y Consecuencias
Este tipo de “ataque a la cadena de suministro”, donde los hackers infiltran el software ampliamente utilizado del que dependen muchos sitios web, puede tener consecuencias muy extendidas. En este caso, las versiones comprometidas de Lottie Player fueron automáticamente incorporadas en muchos sitios, haciendo más fácil para los hackers alcanzar a los usuarios.
- Respuesta de las dApps: La plataforma agregadora descentralizada 1inch, uno de los principales objetivos del ataque, aseguró a los usuarios en las redes sociales que solo su aplicación web dApp se vio afectada y que la aplicación de billetera y los protocolos centrales permanecen seguros.
Contexto y Casos Previos
Las vulneraciones de seguridad en bibliotecas y herramientas ampliamente utilizadas se han convertido en un problema crítico, ya que los hackers explotan vulnerabilidades que les permiten acceder a los activos de los usuarios desprevenidos. A principios de este mes, un tenedor de tokens PEPE perdió US$1.39 millones tras firmar inadvertidamente una transacción maliciosa de Permit2.
Preguntas Frecuentes
- ¿Qué versiones de Lottie Player fueron afectadas? Las versiones comprometidas fueron las 2.0.5 a 2.0.7 del paquete npm de Lottie Player.
- ¿Qué medidas se han tomado para mitigar el problema? Se eliminó el acceso de la cuenta de Github afectada, las versiones comprometidas fueron retiradas del npm y se lanzó una versión segura 2.0.8.
- ¿Cómo saber si he sido afectado por este ataque? Si firmaste una transacción que resultó en pérdida de fondos, es posible que hayas sido afectado. Revisa tu historial de actividad con plataformas que usen la versión compromida de Lottie Player.