Criminelen proberen cryptovaluta te stelen via malware in populaire animatietool

Een populaire animatietool genaamd Lottie Player is door cybercriminelen geïnfecteerd met malafide code. Daardoor ontstond een supplychainaanval, waarmee de aanvallers probeerden om cryptovaluta afhandig te maken van slachtoffers.

Het probleem werd op 30 oktober ontdekt, toen diverse grote platforms voor cryptovaluta zagen hoe een enorme hoeveelheid pop-ups gebruikers vroegen hun wallets te linken, schrijft Coinpedia. Al snel bleek dat cybercriminelen ingebroken hadden op het GitHub-account van LottieFiles, een bedrijf dat animatietools maakt die gebruikt worden door onder meer Disney, Spotify en Apple. De criminelen hadden de inloggegevens van een software-engineer gestolen, die ze gebruikten om malafide code toe te voegen aan de npm-package van Lottie Player.

Deze malafide code zorgde ervoor dat gebruikers pop-ups zagen in populaire en vertrouwde cryptoapplicaties. Wie inging op het verzoek om zijn wallet te linken, werd doorverwezen naar Ace Drainer, een tool waarmee cryptovaluta gestolen worden. Hoeveel slachtoffers er gemaakt zijn en hoeveel geld er gestolen is, is niet duidelijk.

LottieFiles heeft de malafide versies inmiddels verwijderd en een nieuwe, veilige versie uitgebracht, schrijft LottieFiles-medeoprichter en -cto Nattu Adnan op GitHub. Ontwikkelaars die de update niet automatisch binnenkrijgen, worden geadviseerd te upgraden naar versie 2.0.8.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 31-10-2024 14:41
15 • submitter: Devilscomrade

31-10-2024 • 14:41

15

Submitter: Devilscomrade

Lees meer

Betalen met bitcoin wordt nu nog lastiger vanwege een nieuwe cryptowet
Betalen met bitcoin wordt nu nog lastiger vanwege een nieuwe cryptowet Review van 1 januari 2025
Aanvallers gebruiken samengevoegde zipbestanden om malware te verspreiden
Aanvallers gebruiken samengevoegde zipbestanden om malware te verspreiden Nieuws van 12 november 2024
Google test in India blokkeren sideloaden verdachte apps om fraude te voorkomen
Google test in India blokkeren sideloaden verdachte apps om fraude te voorkomen Nieuws van 3 oktober 2024
Vermeende LockBit-ontwikkelaar aangehouden bij internationale politieactie
Vermeende LockBit-ontwikkelaar aangehouden bij internationale politieactie Nieuws van 2 oktober 2024
FIOD houdt vrouw aan wegens verdenking witwassen met cryptovaluta
FIOD houdt vrouw aan wegens verdenking witwassen met cryptovaluta Nieuws van 24 september 2024
Britse autoriteiten halen netwerk offline dat telefoonspoofingsoftware aanbood
Britse autoriteiten halen netwerk offline dat telefoonspoofingsoftware aanbood Nieuws van 1 augustus 2024
NCA en FBI halen 'een van de grootste ddos-diensten' offline
NCA en FBI halen 'een van de grootste ddos-diensten' offline Nieuws van 23 juli 2024
Europol haalt Cobalt Strike-servers offline die werden gebruikt door criminelen
Europol haalt Cobalt Strike-servers offline die werden gebruikt door criminelen Nieuws van 3 juli 2024
Cryptobeurs Kraken: beveiligingsonderzoeker stal 3 miljoen dollar - updates
Cryptobeurs Kraken: beveiligingsonderzoeker stal 3 miljoen dollar - updates Nieuws van 20 juni 2024
Meer producten en artikelen
Beveiliging en antivirus cryptocurrency Cybercrime npm

Reacties (15)

-Moderatie-faq
15
15
5
0
0
10
Wijzig sortering
GrandiJoos 31 oktober 2024 14:58
Ik mis nog even het bruggetje van
LottieFiles, een bedrijf dat animatietools maakt die gebruikt worden door onder meer Disney, Spotify en Apple
naar
Deze malafide code zorgde ervoor dat gebruikers pop-ups zagen in populaire en vertrouwde cryptoapplicaties.
Wordt LottieFiles dan ook gebruikt door deze cryptoapplicaties?
Zic @GrandiJoos31 oktober 2024 15:25
Ja de renderer/"player" package: een html element die de lottie animaties kan weergeven in de front-end.
Anonymoussaurus 31 oktober 2024 14:55
LottieFiles heeft zelf ook het een en ander uitgelegd op X/Twitter: https://x.com/LottieFiles/status/1851848602093777273
OttoRocketman 31 oktober 2024 15:15
Heeft NPM geen security mechanisme waarmee je kunt voorkomen dat 1 user direct nieuwe code kan pushen? Iets dat je kunt instellen dat een x aantal mensen eerst de wijziging moeten goedkeuren (a la pull request approval).
NoFearWizz @OttoRocketman31 oktober 2024 15:18
Nee zo werkt NPM niet, je maakt een TAG en die tag push je NPM toe. Iedereen met schrijfrechten op een repo dan kan dit dus doen.
vrilly @NoFearWizz31 oktober 2024 15:55
NPM zou er inmiddels goed aan doen om beleid te voeren dat er voor elk package alleen maar tags worden geaccepteerd die gesigneerd zijn door de GPG sleutel van de package maintainer(git signed commit systeem), en dit bij elke build/deployment nogmaals door npm geverifieerd wordt dat de sleutel niet is ingetrokken en er een gesigneerde versie geinstalleerd is zoals klassieke package managers al doen.
Elke update auditten is niet te doen, en de pleisters die geplakt worden in het ecosysteem helpen alleen maar als het al veel te laat is, zonder structurele verandering blijft het hele npm registry enorm kwetsbaar voor supply chain attacks

[Reactie gewijzigd door vrilly op 31 oktober 2024 15:56]

yobikap @vrilly31 oktober 2024 17:33
Dit moet op niveau van deployment gebeuren met tools als SonarQube. Als SonarQube detecteert dat code smells, het niet toelaten om een package te releasen of deployable te maken.
YopY @yobikap1 november 2024 10:18
Maar dat is nog "binnen" de organisatie; als je een NPM API key hebt kun je van overal vandaan een release uploaden, kwestie van [code]npm release[/code] uitvoeren.
YopY @OttoRocketman1 november 2024 10:20
Zo zou het wel moeten gaan, maar het maken en vrijgeven van een nieuwe versie is nog steeds maar een kwestie van een .tgz file uploaden met de juiste credentials. Hij staat dan direct live.

Dat is aan de ene kant goed en handig, want, snel en drempelloos releasen... maar supply chain attacks dus. Het valt me zwaar tegen dat npmjs nog geen enterprise / veilig programma heeft met bijvoorbeeld vertraagde releases of review mogelijkheid.
biteMark 31 oktober 2024 15:41
Al snel bleek dat cybercriminelen ingebroken hadden op het GitHub-account van LottieFiles, [...] De criminelen hadden de inloggegevens van een software-engineer gestolen, [...]
GitHub heeft al een tijd ondersteuning voor 2FA. Als software-engineer zou je toch beter moeten weten? En het team achter Lottie zou beter moeten weten dan ongereviewde code zomaar code laten inchecken in de main branch en ze zouden op zijn minst moeten afdwingen dat iedereen die mag mergen naar main of pull requests mag afronden 2FA heeft ingeschakeld.
gorgi_19 @biteMark31 oktober 2024 16:37
Ze geven aan dat account tokens waren gestolen, geen credentials. Dan heb je weinig meer aan 2fa:
As some users who investigated already came to speculations, it seems that one of the maintainers accounts tokens
Zic 31 oktober 2024 15:15
Dodged a bullet, ik gebruik lottie-web direct van AirBnB, en een custom player. Ik gebruik ook geen CDN "@latest" url.

Enigzins kwalijk dat grote platformen voor cryptovaluta gewoon zonder blikken of blozen direct (waarschijnlijk automatisch) dependencies updaten (& naar end-users uitrollen in production) bij een nieuwe versie.

[Reactie gewijzigd door Zic op 31 oktober 2024 15:28]

Vlizzjeffrey 31 oktober 2024 18:33
Moet zeggen dat ik het wel creatief vind, hoe komen ze erop. Blijft natuurlijk verkeerd.
PacinoAllstars @Vlizzjeffrey31 oktober 2024 19:36
Misschien creatief omdat de software door creatievelingen wordt gebruikt :+

Een supply chain aanval zien we helaas steeds vaker. Het is daarom ook niet zomaar zonder reden dat de NIS2 hier een hele set normen voor verplicht gaat stellen.
Jasperrr @Vlizzjeffrey31 oktober 2024 23:31
Dan moet je eens lezen over de "hack" in NPM een aantal jaar geleden. Een security researcher ontdekte dat veel bedrijven intern JS packages gebruiken die niet in NPM geregistreerd zijn. De namen van deze packages waren vrij makkelijk terug te vinden door `package.json` bestanden die per ongeluk meegebundled werden in een production build.

Nu is het zo dat package managers op NPM terugvallen als lokaal een package niet gevonden kan worden (en in enkele andere gevallen). Dus wat heeft hij gedaan? Hij heeft op NPM packages met dezelfde namen als de interne packages geregistreerd. In deze packages zat wat controlecode om te kunnen achterhalen of/wanneer de boel gedownload werd. En jawel, bij veel bedrijven was het snel raak.

https://medium.com/@alex....cy-confusion-4a5d60fec610

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq