Vào ngày 30 tháng 10, các trang web giao diện của một số ứng dụng tiền điện tử trực tuyến đã bị xâm phạm sau khi kẻ tấn công tiêm mã độc hại vào một bản cập nhật của một thư viện hoạt hình phổ biến và được sử dụng rộng rãi.
Các ứng dụng DeFi, bao gồm 1inch và TEN Finance, đã hiển thị các thông báo yêu cầu người dùng kết nối ví của họ, thực chất là dành cho “Ace Drainer,” nền tảng bảo mật tiền điện tử Blockaid cho biết trong một bài đăng trên X ngày 30 tháng 10. Xem thêm.
Gal Nagli, trưởng nhóm bảo mật tại công ty an ninh mạng Wiz, giải thích rằng sự cố xâm nhập xuất phát từ một “cuộc tấn công Chain cung ứng quy mô lớn” nhắm vào thư viện Lottie Player — một dịch vụ rất phổ biến cung cấp hình động cho các trang web và ứng dụng, có người dùng như Apple, Spotify và Disney.
Nguồn: Blockaid
Cuộc tấn công này độc đáo vì đã tiêm một cửa sổ bật lên độc hại vào trang web dường như không bị ảnh hưởng. Kẻ tấn công thường xâm nhập vào các tài khoản mạng social có lượng theo dõi cao để lừa người dùng nhấp vào các liên kết lừa đảo trên các trang web giả mạo.
Jawish Hameed, phó chủ tịch kỹ thuật tại LottieFiles — công ty phát hành thư viện hoạt hình — đã viết trên GitHub rằng các phiên bản thư viện bị ảnh hưởng đã bị gỡ bỏ và kêu gọi người dùng cài đặt phiên bản mới nhất. Xem thêm.
Ông nói rằng kẻ tấn công đã xâm nhập vào tài khoản GitHub của một kỹ sư phần mềm cao cấp tại LottieFiles và đẩy ba bản cập nhật độc hại trong ba giờ, đồng thời cho biết đã “loại bỏ quyền truy cập tài khoản bị xâm nhập.” Xem thêm.
Nagli từ Wiz cho biết người dùng đã thấy cửa sổ bật lên kết nối ví tiền điện tử độc hại “trên các trang web phổ biến toàn cầu.”
“Có vẻ như mục đích tấn công ban đầu là nhắm vào các trang web tiền điện tử lớn sử dụng thư viện này,” ông bổ sung.
Nagli cảnh báo rằng các trang web vẫn sử dụng các phiên bản thư viện bị ảnh hưởng “có thể vẫn còn lỗ hổng,” khuyên người dùng nên kiểm tra xem trang web có sử dụng các gói không độc hại hay không, ở phiên bản 2,0,4 hoặc phiên bản mới nhất 2,0,8.
LottieFiles chưa ngay lập tức phản hồi yêu cầu bình luận.
Crypto-Sec: 2 công ty kiểm toán bỏ sót lỗ hổng trị giá 27 triệu USD tại Penpie, lỗi ‘claim rewards’ của Pythia
