加密貨幣應用程序在Ace Drainer黑客動畫庫之後看到惡意彈出窗口

10月30日，在將惡意代碼注入流行且廣泛使用的動畫庫更新中，攻擊者攻擊了幾個在線加密應用的前端網站。

去中心化金融應用程序，包括1inch和TEN Finance，顯示彈出窗口，要求用戶連接他們的錢包，實際上是為了加密排水器“Ace Drainer”，加密安全平臺Blockaid在10月30日的X帖子中說。

Wiz網絡安全公司的安全負責人加爾·納格里解釋說，這次妥協是因為對Lottie Player庫進行了一次“大規模供應鏈攻擊”，這是一個非常流行的服務，為網站和應用程序提供動畫，擁有像蘋果、Spotify和迪士尼這樣的用戶。

來源： Blockaid

這次攻擊的獨特之處在於向一個看似未受影響的網站中注入了惡意彈出窗口。攻擊者通常會侵入高關注度的社交媒體賬號，誘使關注者點擊仿冒網站上的釣魚鏈接。

LottieFiles 的工程副總裁 Jawish Hameed 在 GitHub 上寫道，受影響的庫版本已被移除，並敦促用戶安裝最新版本。

他說攻擊者侵犯了LottieFiles的高級軟件工程師的GitHub賬戶，並在三小時內推送了三個惡意更新，稱其“已刪除被侵犯的賬戶訪問權限”。

相關： 黑客在虛假比特幣ETF X帖子背後稱不認罪

Wiz的Nagli表示，用戶在整個互聯網上的熱門網站上都看到了惡意加密錢包連接彈窗。

“看起來，原本的攻擊意圖是針對那些使用該庫的主要加密貨幣網站。”他補充道。

Nagli警告說，仍使用受影響的庫版本的網站“可能仍然存在漏洞”，並建議用戶檢查網站是否使用非惡意的軟件包 - 無論是版本2.0.4還是最新的2.0.8。

LottieFiles未立即回覆對評論的請求。

加密貨幣-Sec: 2位審計師錯過了2700萬美元的Penpie漏洞，Pythia的'領取獎勵'漏洞

• #黑客
• #Hacks
• #去中心化金融 添加反應