行業新聞與部落格

一次涉及廣泛使用的 NPM 包 @lottiefiles/lottie-player 的有針對性的供應鏈攻擊已被發現，凸顯了軟體依賴關係中的漏洞。

根據 ReversingLabs 上週釋出的研究，該軟體包的惡意版本已於今年早些時候釋出。

事件的關鍵細節

@lottiefiles/lottie-player 包每週下載量約為 84,000 次，用於在網站上嵌入和播放 Lottie 動畫。

雖然該軟體包通常是安全的，但惡意行為者最近透過特權開發者賬戶的未經授權的訪問令牌釋出了三個惡意版本（2.0.5、2.0.6 和 2.0.7），從而破壞了該軟體包。

這些惡意更新包含更改的程式碼，會彈出視窗提示使用者連線他們的 Web3 錢包。

連線後，攻擊者便可竊取受害者的加密錢包資產。開發人員在注意到受影響網站上的異常行為後迅速標記了該問題，並引發了論壇和 GitHub 上的討論。

維護人員的快速響應

LottieFiles 迅速對此次漏洞做出了反應，與 NPM 合作刪除了惡意版本，併發布了基於最新安全版本（2.0.4 版）的乾淨版本。使用 @latest 依賴項配置的開發人員會收到自動更新，從而減輕潛在影響。

閱讀有關供應鏈安全的更多資訊：CISA 敦促提高美國軟體供應鏈透明度

如何檢測到入侵

ReversingLabs 的研究人員對安全的 2.0.4 版本和惡意的 2.0.7 版本進行了差異分析。結果發現了重大變化，包括：

• 增加檔案大小卻沒有功能依據

• 介紹與比特幣交易所相關的 URL

• 刪除標準行為，例如顯示列舉

他們的分析還標記了威脅搜尋政策，這些政策檢測到與已知軟體供應鏈攻擊類似的模式，例如加密令牌檢測。

開發人員的教訓

此次攻擊凸顯了將依賴項固定到經過審查的特定版本以避免自動更新的軟體包中存在漏洞的重要性。定期對依賴項和構建管道進行安全評估對於識別潛在風險也至關重要。

“在 @lottiefiles/lottie-player 案例中，供應鏈漏洞很快就被發現。然而，這並不意味著惡意行為者將來無法變得更加隱秘，更好地隱藏他們的惡意程式碼，”ReversingLabs 警告道。

“這就是為什麼開發人員有必要進行安全評估，以便在使用公共開源庫之前驗證其完整性和質量。”