LottieFiles a révélé que son package npm « lottie-player » a été compromis dans le cadre d’une attaque de la chaîne d’approvisionnement, ce qui l’a incité à publier une version mise à jour de la bibliothèque.

« Le 30 octobre vers 18h20 UTC, LottieFiles a été informé que notre populaire package npm open source pour le lecteur Web @lottiefiles/lottie-player avait de nouvelles versions non autorisées poussées avec du code malveillant », a déclaré la société dans un communiqué sur X. « Cela n’a pas d’impact sur notre lecteur dotlottie et/ou notre service SaaS. »

LottieFiles est une plateforme de workflow d’animation qui permet aux concepteurs de créer, d’éditer et de partager des animations dans un format de fichier d’animation basé sur JSON appelé Lottie. C’est également le développeur d’un package npm nommé lottie-player , qui permet d’intégrer et de lire des animations Lottie sur des sites Web.

Selon la société, « un grand nombre d’utilisateurs utilisant la bibliothèque via des CDN tiers sans version épinglée se sont vus automatiquement proposer la version compromise comme la dernière version ».

Les versions malveillantes du package contenaient du code qui invitait les utilisateurs à connecter leurs portefeuilles de cryptomonnaies, dans le but probable de vider leurs fonds. Il est recommandé aux utilisateurs qui utilisent les versions 2.0.5, 2.0.6 et 2.0.7 de mettre à jour vers la version 2.0.8.

« Les versions 2.0.5, 2.0.6, 2.0.7 ont été publiées directement sur https://npmjs.com en l’espace d’une heure en utilisant un jeton d’accès compromis provenant d’un développeur disposant des privilèges requis », a noté LottieFiles.

En plus de publier un correctif, les trois versions malveillantes ont été retirées du référentiel de paquets npm. LottieFiles a également déclaré avoir activé son plan de réponse aux incidents et engagé une équipe de réponse aux incidents externe pour aider à l’enquête.