LottieFilesは、デザイナーがアニメーションを作成、編集、共有するためのアニメーションワークフロープラットフォームであり、JSONベースのアニメーションファイル形式であるLottieを使用しています。特に、ウェブサイトにLottieアニメーションを埋め込んで再生するためのnpmパッケージ「lottie-player」を開発しています。

会社によると、多くのユーザーがバージョンが固定されていないサードパーティのCDN経由でライブラリを使用しているため、侵害されたバージョンが自動的に最新リリースとして提供されてしまったとのことです。これらの悪意のあるバージョンには、ユーザーに暗号通貨ウォレットを接続させるコードが含まれており、資金を奪うことを狙っている可能性があります。バージョン2.0.5、2.0.6、2.0.7を使用しているユーザーには、2.0.8への更新が推奨されています。

LottieFilesは、これらのバージョンが開発者の権限を持つアクセス・トークンを使って、わずか1時間でhttps://npmjs.comに直接公開されたと説明しました。修正版をリリースするだけでなく、3つの悪意のあるバージョンはnpmパッケージリポジトリから削除されました。また、LottieFilesはインシデントへの対応計画を発動し、外部のインシデント対応チームを調査の支援に招いていると述べています。