O LottieFiles revelou que certas versões de seu pacote npm continham código malicioso que induzia os usuários a conectarem suas carteiras de criptomoedas, permitindo o acesso aos fundos pelos atacantes. Essa vulnerabilidade, identificada após várias denúncias de usuários sobre injeções de código incomuns, afetou as versões “lottie-player” 2.0.5, 2.0.6 e 2.0.7, todas disponibilizadas recentemente.
A empresa lançou rapidamente a versão 2.0.8, baseada na versão limpa 2.0.4, recomendando que todos os usuários atualizem para essa versão segura.
Impacto e recomendações para usuários
O LottieFiles informou que muitos usuários que acessaram a biblioteca via CDNs terceirizadas, sem uma versão fixa, receberam automaticamente as versões comprometidas como atualizações. Com a publicação da versão 2.0.8 segura, esses usuários também foram automaticamente protegidos.
Para aqueles que não conseguirem atualizar para a versão mais recente, recomenda-se alertar seus usuários sobre riscos de conexão fraudulenta com carteiras de criptomoedas e, caso necessário, manter-se na versão 2.0.4 como medida de segurança adicional.
O que é o LottieFiles?
O LottieFiles é uma plataforma de software como serviço (SaaS) voltada para criação e compartilhamento de animações vetoriais leves, ideais para sites e aplicativos. Conhecida pela capacidade de gerar visualizações de alta qualidade com baixo impacto no desempenho, especialmente em dispositivos móveis e menos potentes, a plataforma tem uma vasta base de usuários.
A vulnerabilidade afeta apenas o pacote npm, não os serviços SaaS da empresa. Aplicativos e sites que implementaram as versões maliciosas do Lottie Web Player foram configurados para apresentar prompts de conexão de carteira, que permitiram o roubo de ativos digitais por agentes mal-intencionados.
Medidas e investigação em andamento
A conta de desenvolvedor usada para publicar as versões corrompidas foi desativada, e todos os tokens associados foram revogados, interrompendo assim a atividade maliciosa. O LottieFiles confirmou que outros códigos de suas bibliotecas, repositórios no GitHub e serviços SaaS não foram comprometidos.
A empresa está conduzindo uma investigação interna sobre o incidente, com apoio de especialistas externos, e promete divulgar mais informações assim que disponíveis.
Segundo o Scam Sniffer, uma plataforma de monitoramento de ameaças em blockchain, um dos usuários afetados perdeu cerca de US$ 723.000 em Bitcoin devido a essa vulnerabilidade. No entanto, o número total de vítimas e a quantidade exata de criptomoedas desviadas ainda são desconhecidos até o momento.
