LottieFilesは、人気のあるオープンソースのnpmパッケージ「@lottiefiles/lottie-player」が供給連鎖攻撃の一環として侵害されたことを発表しました。10月30日、GMTの午後6時20分頃、同社は新しい不正なバージョンが悪意のあるコードと共に公開されたことを通知されました。この事態は、同社のドットロッティープレイヤーやSaaSサービスには影響しないと説明しています。
LottieFilesは、デザイナーがアニメーションを作成、編集、共有するためのアニメーションワークフロープラットフォームであり、JSONベースのアニメーションファイル形式であるLottieを使用しています。特に、ウェブサイトにLottieアニメーションを埋め込んで再生するためのnpmパッケージ「lottie-player」を開発しています。
会社によると、多くのユーザーがバージョンが固定されていないサードパーティのCDN経由でライブラリを使用しているため、侵害されたバージョンが自動的に最新リリースとして提供されてしまったとのことです。これらの悪意のあるバージョンには、ユーザーに暗号通貨ウォレットを接続させるコードが含まれており、資金を奪うことを狙っている可能性があります。バージョン2.0.5、2.0.6、2.0.7を使用しているユーザーには、2.0.8への更新が推奨されています。
LottieFilesは、これらのバージョンが開発者の権限を持つアクセス・トークンを使って、わずか1時間でhttps://npmjs.comに直接公開されたと説明しました。修正版をリリースするだけでなく、3つの悪意のあるバージョンはnpmパッケージリポジトリから削除されました。また、LottieFilesはインシデントへの対応計画を発動し、外部のインシデント対応チームを調査の支援に招いていると述べています。