En Resumen

  • Una importante violación de seguridad ha afectado a múltiples aplicaciones descentralizadas (dApps) debido a un código malicioso inyectado en Lottie Player, una biblioteca de animación de JavaScript ampliamente utilizada.
  • El ataque explotó las actualizaciones recientes del paquete npm de Lottie Player, específicamente en las versiones 2.0.5 a 2.0.7, donde los hackers incrustaron código malicioso en archivos JSON.
  • Al menos una persona ha perdido 10 BTC (723.000 dólares estadounidenses) después de firmar involuntariamente una transacción de phishing vinculada a la violación.

Una importante violación de seguridad ha afectado a múltiples aplicaciones descentralizadas (dApps), con el ataque proveniente de un código malicioso inyectado en Lottie Player, una biblioteca de animación de JavaScript ampliamente utilizada. 

El ataque explotó las actualizaciones recientes del paquete npm de Lottie Player, específicamente en las versiones 2.0.5 a 2.0.7, donde los hackers incrustaron código malicioso dentro de archivos JSON que muestran animaciones en sitios web. 

Al menos una persona ha perdido 10 BTC (723.000 dólares estadounidenses) después de firmar involuntariamente una transacción de phishing vinculada a la violación, según informó Scam Sniffer, una plataforma diseñada para proteger a los usuarios de fraudes en línea.

Blockaid, una plataforma de ciberseguridad que monitorea el incidente, confirmó el miércoles que los atacantes desplegaron un aviso falso de conexión de billetera, llevando a los usuarios al malware "Ace Drainer", que imita conexiones legítimas para engañar a los usuarios.

Según Blockaid, los hackers añadieron código dañino a los archivos de Lottie Player, convirtiendo estas animaciones en puntos de entrada para posibles estafas. Básicamente, cuando los usuarios visitaban sitios con esta biblioteca comprometida, se les mostraban ventanas emergentes falsas pidiéndoles que conectaran sus billeteras digitales.

Sin embargo, estos avisos estaban controlados por los hackers y les podían otorgar acceso no autorizado a los fondos de los usuarios.

En respuesta al ataque, Jawish Hameed, vicepresidente de ingeniería de LottieFiles, confirmó el miércoles que las versiones afectadas fueron eliminadas de npm y se lanzó una versión segura (2.0.8).

LottieFiles señaló a Decrypt en su declaración pública sobre la secuencia de eventos cuando se le pidió un comentario.

Hameed señaló que la brecha involucró la cuenta de GitHub de un ingeniero senior, a través de la cual los atacantes lanzaron tres actualizaciones comprometidas en solo tres horas el martes.

LottieFiles ha revocado todo el acceso de la cuenta de desarrollador afectada y ha tomado medidas adicionales para prevenir incidentes futuros.

Este tipo de "ataque a la cadena de suministro" —donde los hackers se infiltran en software ampliamente utilizado en el que muchos sitios web confían— puede tener consecuencias generalizadas. En este caso, las versiones comprometidas del reproductor Lottie Player se incorporaron automáticamente en muchos sitios, facilitando que los hackers llegasen a los usuarios.

El exchange descentralizado, 1inch, uno de los principales objetivos del ataque, tranquilizó a los usuarios en las redes sociales de que solo su web dApp se vio afectada y que la aplicación de billetera y los protocolos principales siguen seguros.

Las vulnerabilidades de seguridad en bibliotecas y herramientas ampliamente utilizadas se han convertido en un problema crítico a medida que los hackers explotan vulnerabilidades que les permiten acceder a los activos de usuarios desprevenidos.

A principios de este mes, un titular de tokens PEPE perdió $1,39 millones después de firmar involuntariamente una transacción maliciosa de Permit2.

Editado por Sebastian Sinclair

Daily Debrief Newsletter

Start every day with the top news stories right now, plus original features, a podcast, videos and more.