行业新闻与博客

一次涉及广泛使用的 NPM 包 @lottiefiles/lottie-player 的有针对性的供应链攻击已被发现，凸显了软件依赖关系中的漏洞。

根据 ReversingLabs 上周发布的研究，该软件包的恶意版本已于今年早些时候发布。

事件的关键细节

@lottiefiles/lottie-player 包每周下载量约为 84,000 次，用于在网站上嵌入和播放 Lottie 动画。

虽然该软件包通常是安全的，但恶意行为者最近通过特权开发者账户的未经授权的访问令牌发布了三个恶意版本（2.0.5、2.0.6 和 2.0.7），从而破坏了该软件包。

这些恶意更新包含更改的代码，会弹出窗口提示用户连接他们的 Web3 钱包。

连接后，攻击者便可窃取受害者的加密钱包资产。开发人员在注意到受影响网站上的异常行为后迅速标记了该问题，并引发了论坛和 GitHub 上的讨论。

维护人员的快速响应

LottieFiles 迅速对此次漏洞做出了反应，与 NPM 合作删除了恶意版本，并发布了基于最新安全版本（2.0.4 版）的干净版本。使用 @latest 依赖项配置的开发人员会收到自动更新，从而减轻潜在影响。

阅读有关供应链安全的更多信息：CISA 敦促提高美国软件供应链透明度

如何检测到入侵

ReversingLabs 的研究人员对安全的 2.0.4 版本和恶意的 2.0.7 版本进行了差异分析。结果发现了重大变化，包括：

• 增加文件大小却没有功能依据

• 介绍与比特币交易所相关的 URL

• 删除标准行为，例如显示枚举

他们的分析还标记了威胁搜寻政策，这些政策检测到与已知软件供应链攻击类似的模式，例如加密令牌检测。

开发人员的教训

此次攻击凸显了将依赖项固定到经过审查的特定版本以避免自动更新的软件包中存在漏洞的重要性。定期对依赖项和构建管道进行安全评估对于识别潜在风险也至关重要。

“在 @lottiefiles/lottie-player 案例中，供应链漏洞很快就被发现。然而，这并不意味着恶意行为者将来无法变得更加隐秘，更好地隐藏他们的恶意代码，”ReversingLabs 警告道。

“这就是为什么开发人员有必要进行安全评估，以便在使用公共开源库之前验证其完整性和质量。”