LottieFiles 的一个开发者账户遭攻陷，被用于洗劫用户的密币钱包。

LottieFiles 的热门网站动画插件 LittiePlayer 最为人所知，其联合创始人兼首席信息官 Nattu Adnan 在本周四证实称，攻击者利用被盗会话令牌访问了一个高权限开发者的账户并将恶意代码推送给用户。他提到，该代码旨在让 LottieFiles 用户将密币钱包连接到攻击者的基础设施，从而清空他们的资产。

论坛用户在访问依赖于 LottiePlayer 动画功能的站点时讨论了这一异常发现。访问站点时，用户收到连接钱包的提醒。攻击者在一个小时的时间内想 npmjs 包管理器推送了LottiePlayer 的三个版本（2.0.5、2.0.6、2.0.7），这是该项目在两个月内发布的第一批变更。

其中很多网站被配置为使用 LottiePlayer 的最新版本，而非手动选择版本，因此导致恶意版本自动推送给用户。Adnan 在该项目的 GitHub 页面上提到，“在协调世界时10月30日的下午6:20左右，LottieFiles 收到通知称，web 播放器 @lottiefiles/lottie-player的热门开源 npm 包，未经授权推送了含有恶意代码的新版本。dotlottie 播放器和/或 SaaS 服务并不受影响。之后我们启动了事件响应计划，为您造成的不便，我们深表歉意。我们致力于保护用户、客户及其终端用户、开发者和员工的安全。”

他补充道，他们聘请了外部安全专家，击退了攻击者，并发布了安全版本 2.0.8，该问题已解决。网站管理员如无法更新至该版本（2024年3月份发布的版本2.0.4的复制版），则建议与客户非常清晰地沟通，告知他们不应在收到提示时，连接自己的钱包。他提到，“我们已确认，其它开源库、开源代码、GitHub 仓库和 SaaS 服务并不受影响。”

Adnan 并未就受该事件影响的用户数量置评，不过 LottiePlayer 非常流行，每周的下载量为9.4万次，自首次发布起已经下载了400多万次。再次重申，该项目并未发布官方确认，不过 Web3 安全平台 Scam Sniffer 发现一起交易，一名受害者因该攻击被盗10个比特币（约合722508美元）。

该事件只是一年来发生的值得注意的钱包洗劫攻击事件之一。上个月，一款恶意安卓 app 盗取了受害者约合7万美元的密币资产。不管是通过app、像 LottiePlayer 遭受的供应链攻击，还是利用智能合约部署操作码的机制，网络犯罪分子一直都在伺机赚快钱。

大概近一年前的这个时候，密币交易所 Poloniex 的用户资产丢失1.2亿美元，而就在几天前，门罗币项目被盗近100万美元。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~