行業新聞與博客

NPM 軟件包 Lottie-Player 遭遇供應鏈攻擊

一次涉及廣泛使用的 NPM 包 @lottiefiles/lottie-player 的有針對性的供應鏈攻擊已被發現,凸顯了軟件依賴關係中的漏洞。

根據 ReversingLabs 上週發佈的研究,該軟件包的惡意版本已於今年早些時候發佈。

事件的關鍵細節

@lottiefiles/lottie-player 包每週下載量約為 84,000 次,用於在網站上嵌入和播放 Lottie 動畫。

雖然該軟件包通常是安全的,但惡意行為者最近通過特權開發者賬户的未經授權的訪問令牌發佈了三個惡意版本(2.0.5、2.0.6 和 2.0.7),從而破壞了該軟件包。

這些惡意更新包含更改的代碼,會彈出窗口提示用户連接他們的 Web3 錢包。

連接後,攻擊者便可竊取受害者的加密錢包資產。開發人員在注意到受影響網站上的異常行為後迅速標記了該問題,並引發了論壇和 GitHub 上的討論。

維護人員的快速響應

LottieFiles 迅速對此次漏洞做出了反應,與 NPM 合作刪除了惡意版本,併發布了基於最新安全版本(2.0.4 版)的乾淨版本。使用 @latest 依賴項配置的開發人員會收到自動更新,從而減輕潛在影響。

閲讀有關供應鏈安全的更多信息:CISA 敦促提高美國軟件供應鏈透明度

如何檢測到入侵

ReversingLabs 的研究人員對安全的 2.0.4 版本和惡意的 2.0.7 版本進行了差異分析。結果發現了重大變化,包括:

  • 增加文件大小卻沒有功能依據

  • 介紹與比特幣交易所相關的 URL

  • 刪除標準行為,例如顯示枚舉

他們的分析還標記了威脅搜尋政策,這些政策檢測到與已知軟件供應鏈攻擊類似的模式,例如加密令牌檢測。

開發人員的教訓

此次攻擊凸顯了將依賴項固定到經過審查的特定版本以避免自動更新的軟件包中存在漏洞的重要性。定期對依賴項和構建管道進行安全評估對於識別潛在風險也至關重要。

“在 @lottiefiles/lottie-player 案例中,供應鏈漏洞很快就被發現。然而,這並不意味着惡意行為者將來無法變得更加隱秘,更好地隱藏他們的惡意代碼,”ReversingLabs 警告道。

“這就是為什麼開發人員有必要進行安全評估,以便在使用公共開源庫之前驗證其完整性和質量。”

需要幫助嗎?聯繫我們的支持團隊 在線客服