LottieFiles 警告供应链攻击风险

重点信息

• LottieFiles 的 “lottie-player” npm 包遭受供应链攻击，恶意版本被释放。
• 受影响的版本包含加密货币窃取的有效载荷。
• 向用户自动分发恶意版本，建议立即升级到 2.0.8 版本。
• 调查仍在进行中，尚未影响该公司的 dotlottie 播放器及软件服务。

LottieFiles 最近披露了一起针对其 “lottie-player” 的供应链攻击。根据
的报道，这一攻击导致恶意版本的发布，里面包含了能够窃取加密货币的恶意负载。

这样的入侵使得恶意的 lottie-player npm 包版本被自动分发给那些通过第三方内容交付网络获取该库的用户。LottieFiles 表示：“版本
2.0.5、2.0.6 和 2.0.7 在一个小时内被直接发布到 https://npmjs.com，使用的是一位拥有相应权限的开发者的被攻击访问令牌。”
LottieFiles 建议用户立即升级到版本
2.0.8，因为他们确认所有试图与目标加密货币钱包建立连接的恶意版本已被移除。公司表示，尽管此次事件正在调查中，但未影响到 LottieFiles 的
dotlottie 播放器及其软件即服务。

补充说明： – 这类攻击强调了 npm 包安全性的重要性，开发者在使用第三方库时应保持警惕，定期检查和更新依赖。

如果您使用了受影响的版本，请务必进行升级，以确保您的项目安全。