Beberapa laman web hadapan aplikasi kripto dalam talian telah dijangkiti pada 30 Oktober selepas penyerang menyuntikkan kod berbahaya ke dalam kemas kini perpustakaan animasi yang popular dan banyak digunakan.

Aplikasi kewangan terdesentralisasi, termasuk 1inch dan TEN Finance, menunjukkan popup yang meminta pengguna untuk menyambungkan dompet mereka, yang sebenarnya adalah untuk "Ace Drainer," penjaga keselamatan kripto Blockaid berkata dalam satu pos pada 30 Oktober.

Gal Nagli, ketua keselamatan di firma keselamatan siber Wiz, menjelaskan kompromi ini adalah hasil daripada "serangan rantaian bekalan yang besar" ke atas perpustakaan Pemain Lottie - perkhidmatan yang sangat popular yang menyediakan animasi untuk laman web dan aplikasi, dengan pengguna seperti Apple, Spotify, dan Disney.

Penjenayah, Penipuan, Serangan

Sumber: Blockaid

Serangan ini unik kerana ia menyuntikkan popup berbahaya ke dalam laman web yang seolah-olah tidak terjejas. Penyerang biasanya merampas akaun media sosial yang banyak diikuti untuk memperdaya pengikut agar mengklik pautan penipuan di laman web palsu.

Jawish Hameed, naib presiden kejuruteraan di LottieFiles - firma yang menerbitkan perpustakaan animasi tersebut - menulis di GitHub bahawa versi perpustakaan yang terjejas telah dihapuskan dan menggesa pengguna untuk memasang versi terkini.

Beliau berkata bahawa penyerang telah mengkompromikan akaun GitHub seorang jurutera perisian kanan LottieFiles dan menerbitkan tiga kemas kini berbahaya dalam masa tiga jam, menambah bahawa "akses akaun yang dikompromikan telah dihapuskan."

Berkaitan: Penjenayah di sebalik pos palsu Bitcoin ETF X menyatakan tidak bersalah

Nagli dari Wiz mengatakan pengguna melihat popup sambungan dompet kripto yang berbahaya "di laman web popular di seluruh internet."

"Nampaknya niat serangan asal adalah untuk menyerang laman web kripto utama yang menggunakan perpustakaan ini," tambahnya.

Nagli memberi amaran bahawa tapak web yang masih menggunakan versi perpustakaan yang terjejas "mungkin masih terdedah," mengatakan pengguna harus menyemak sama ada tapak menggunakan pakej bukan berniat jahat — sama ada versi 2.0.4 atau 2.0.8 yang terkini.

LottieFiles tidak segera memberikan komen.

Kripto-Sek: 2 juruaudit terlepas pandang kelemahan Penpie bernilai $27 juta, bug 'tuntutan ganjaran' Pythia