暗号資産アプリは、Ace Drainerがアニメーションライブラリをハックした後、悪意のあるポップアップを表示します

10月30日、人気で広く使用されているアニメーションライブラリのアップデートに攻撃者が悪意のあるコードを注入した後、いくつかのオンライン暗号アプリのフロントエンドウェブサイトが侵害されました。

分散型金融アプリ、1inchやTEN Financeを含む、実際には暗号通貨ドレーナー「Ace Drainer」であることがわかった暗号通貨セキュリティプラットフォームBlockaidによると、10月30日のXポストには、ユーザーにウォレットの接続を求めるポップアップが表示されました。

サイバーセキュリティ企業WizのセキュリティリードであるGal Nagliは、妥協点はLottie Playerライブラリでの「大規模なサプライチェーン攻撃」から来ていると説明しました。Lottie Playerは非常に人気のあるサービスであり、Apple、Spotify、Disneyなどのユーザーが利用しています。このサービスはサイトやアプリケーションのためのアニメーションを提供しています。

Source: ブロックエイド

攻撃は、一見影響を受けていないウェブサイトに悪意のあるポップアップを注入するという点でユニークです。攻撃者は通常、高いフォロワーを持つソーシャルメディアアカウントを侵害し、フォロワーを偽のウェブサイトのフィッシングリンクをクリックさせるように仕向けます。

アニメーションライブラリを公開しているLottieFilesのエンジニアリング副社長であるJawish Hameedは、GitHubで書いています。影響を受けたライブラリのバージョンは削除され、ユーザーに最新バージョンのインストールを促しました。

彼は、攻撃者がLottieFilesのシニアソフトウェアエンジニアのGitHubアカウントを侵害し、3時間で3つの悪意のあるアップデートを行ったと述べ、それによって「侵害されたアカウントのアクセスを削除した」と述べた。

関連： ビットコインETF Xの偽ポストのハッカーが無罪を主張

Wiz's Nagliは、ユーザーが悪意のある暗号ウォレット接続ポップアップを「インターネット上の人気のあるウェブサイト全体で見ている」と述べました。

「元の攻撃意図は、そのライブラリを利用する主要な暗号通貨ウェブサイトを標的にすることだったようです」と彼は付け加えた。

Nagliは、影響を受けたライブラリバージョンをまだ使用しているウェブサイトは「おそらくまだ脆弱性のあるままである」と警告し、ユーザーはサイトが悪意のないパッケージ（バージョン2.0.4または最新の2.0.8）を使用しているかどうかを確認すべきだと述べた。

LottieFilesはコメントの要求にすぐには応じていませんでした。

Crypto-Sec:*** 2 監査人が $27M Penpie の欠陥、Pythia の「請求報酬」バグを見逃す

• #ハッカーズ
• #ハックス
• #DeFi リアクションを追加