在一次复杂的供应链攻击中,恶意行为者潜入了广泛使用的 JavaScript 库 lottie-player,注入了在合法网站上打开 Web3 钱包连接提示的代码。如果用户接受该提示,攻击者就可以直接从加密货币钱包中抽走资产。lottie-player 的下载量超过 400 万次,在众多高流量网站的动画嵌入中扮演着重要角色,此次事件的影响凸显了开源库固有的安全风险。
一名用户首先在 GitHub 上报告了这一漏洞,他在网站上集成 lottie-player 时发现了意外的 Web3 钱包提示。进一步调查发现,发布于格林尼治标准时间 2024 年 10 月 30 日晚上 8:12 至 9:57 之间的 lottie-player 2.0.5、2.0.6 和 2.0.7 版本已遭到入侵。攻击者在未经授权访问与该库维护者之一 Aidosmf 相关联的令牌后,成功注入了恶意代码。这样,他们就可以通过 npm 和主要 CDN 传播受攻击的版本,影响那些在没有版本锁的情况下获取最新版本的网站。
注入的代码会显示一个虚假的 Web3 钱包连接请求,试图利用受影响网站的访问者,尤其是加密货币领域的访问者。值得注意的是,去中心化金融(DeFi)平台 1inch 证实,一些用户可能遇到了钓鱼提示。据 Scam Sniffer 报道,一名受害者已经报告称,由于恶意钱包连接企图,他损失了 10 个比特币(价值约 723,436 美元)。
发现攻击后,lottie-player 团队迅速发布了一个干净的 2.0.8 版本,开发者可以用它来替换被攻击的文件。此外,2.0.5 至 2.0.7 版本已从 npm 和 CDN 提供商(如 unpkg 和 jsdelivr)中删除,以遏制漏洞并限制暴露。
但是,除非更新到安全版本(2.0.4 或 2.0.8),否则任何直接引用受影响版本的网站仍然存在漏洞。
此次攻击发生后,安全团队应采取以下措施:
- 审计依赖关系: 进行彻底审计,找出依赖于受攻击的 lottie-player 版本的任何项目。鉴于该库的广泛使用,这一步骤对于保护网络资产和用户信息至关重要。
- 更新或还原: 立即更新到安全版本 2.0.8 或恢复到受威胁前的版本 2.0.4。鼓励仍在使用受影响版本的网站立即采取行动,防止潜在的漏洞。
- 实施版本锁定: 避免在未指定安全和经过验证的版本的情况下使用最新发布的版本。将依赖关系固定到经过验证的特定版本,可以降低自动暴露于未来供应链攻击的风险。
- 监控异常交易: 鉴于至少有一起重大损失的报告,企业应积极监控用户交易中的可疑活动,尤其是 Web3 钱包连接提示和签名。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容