Lottie Player baru baru ini terkena serangan supply chain yang sangat merugikan para penggunanya. Dalam pembaruan npm Lottie Player versi 2.0.5 hingga 2.0.7, peretas menyisipkan kode ke dalam file JSON yang memengaruhi tampilan animasi pada berbagai situs.

🚨 URGENT: Blockaid systems have detected a potential supply chain attack targeting dApps that use Lottie Player.

A new version of this npm packaged was deployed a couple of minutes ago, with multiple legitimate dApps now issuing malicious transactions.

More updates soon. pic.twitter.com/FRpnj11JkQ
— Blockaid (@blockaid_) October 30, 2024

Akibat dari serangan ini, sejumlah pengguna dApps terkena jebakan phishing, termasuk satu pengguna yang kehilangan 10 BTC (setara USD 723,000) setelah secara tidak sengaja menyetujui transaksi palsu yang terkait dengan kode tersebut.

Platform Scam Sniffer, yang bertujuan melindungi pengguna dari penipuan daring, melaporkan insiden ini sebagai salah satu contoh besar dari dampak serangan terhadap aplikasi yang menggunakan pustaka animasi Lottie Player. Ancaman ini berpotensi menjangkau ribuan pengguna secara diam-diam, mengingat banyaknya situs yang secara otomatis mengandalkan Lottie Player untuk efek animasi di halaman mereka.

Pop-up Palsu dan Teknik Manipulasi Peretas

Serangan ini memanfaatkan pop-up palsu yang meminta pengguna untuk menghubungkan wallet mereka, yang sebenarnya merupakan malware “Ace Drainer” yang menyamar sebagai prompt koneksi asli. Blockaid mengonfirmasi bahwa peretas menginjeksi kode berbahaya ke dalam file Lottie Player, mengubah animasi menjadi pintu masuk potensial bagi skema penipuan.

Lottie Player Terkena Serangan Supply Chain yang Sebabkan Pencurian Bitcoin Senilai $723K — Malware peretas

Ketika pengguna mengunjungi situs itu, mereka disambut dengan pop-up palsu yang terlihat sah namun dikendalikan oleh peretas. Gal Nagli, kepala keamanan di perusahaan cybersecurity Wiz, menyebut serangan ini sebagai contoh besar dari supply chain attack yang luas.

Serangan ini menyasar situs-situs populer yang menggunakan pustaka tersebut, termasuk aplikasi DeFi seperti 1inch dan TEN Finance, yang sempat menampilkan pop-up koneksi wallet palsu. Nagli memperingatkan bahwa situs-situs yang masih menggunakan versi terdampak dari Lottie Player mungkin tetap rentan. Ia menyarankan agar pengguna dan pengembang memastikan pustaka yang digunakan telah diperbarui ke versi yang aman, baik versi 2.0.4 atau versi terbaru 2.0.8.

Tindakan Pengamanan dan Responnya

Sebagai respons cepat, LottieFiles mengeluarkan panduan bagi pengguna untuk segera memperbarui pustaka mereka ke versi aman. Mereka juga merilis laporan insiden yang merinci penyebab serangan serta langkah pencegahan untuk mencegah terulangnya kejadian serupa.

Incident Response for Recently Infected Lottie-Player versions 2.05, 2.06, 2.0.7

Comm Date/Time: Oct 31st, 2024 04:00 AM UTC

Incident: On October 30th ~6:20 PM UTC – LottieFiles were notified that our popular open source npm package for the web player @lottiefiles/lottie-player…
— LottieFiles (@LottieFiles) October 31, 2024

Selain itu, LottieFiles telah memperkuat keamanan akun GitHub untuk memastikan tidak ada celah yang dapat dimanfaatkan peretas di masa mendatang. Serangan ini menunjukkan perlunya peningkatan kolaborasi antara penyedia platform, pengembang, dan komunitas keamanan siber untuk memperkuat pertahanan dari serangan supply chain.

Ancaman ini juga menjadi pengingat bagi pengguna agar lebih waspada dan teliti dalam memverifikasi aplikasi atau koneksi wallet yang mereka gunakan, demi menjaga keamanan aset digital mereka.

Tag: Hack