加密货币应用程序在Ace Drainer黑客动画库之后看到恶意弹出窗口

10月30日，在将恶意代码注入流行且广泛使用的动画库更新中，攻击者攻击了几个在线加密应用的前端网站。

去中心化金融应用程序，包括1inch和TEN Finance，显示弹出窗口，要求用户连接他们的钱包，实际上是为了加密排水器“Ace Drainer”，加密安全平台Blockaid在10月30日的X帖子中说。

Wiz网络安全公司的安全负责人加尔·纳格里解释说，这次妥协是因为对Lottie Player库进行了一次“大规模供应链攻击”，这是一个非常流行的服务，为网站和应用程序提供动画，拥有像苹果、Spotify和迪士尼这样的用户。

来源： Blockaid

这次攻击的独特之处在于向一个看似未受影响的网站中注入了恶意弹出窗口。攻击者通常会侵入高关注度的社交媒体账号，诱使关注者点击仿冒网站上的钓鱼链接。

LottieFiles 的工程副总裁 Jawish Hameed 在 GitHub 上写道，受影响的库版本已被移除，并敦促用户安装最新版本。

他说攻击者侵犯了LottieFiles的高级软件工程师的GitHub账户，并在三小时内推送了三个恶意更新，称其“已删除被侵犯的账户访问权限”。

相关： 黑客在虚假比特币ETF X帖子背后称不认罪

Wiz的Nagli表示，用户在整个互联网上的热门网站上都看到了恶意加密钱包连接弹窗。

“看起来，原本的攻击意图是针对那些使用该库的主要加密货币网站。”他补充道。

Nagli警告说，仍使用受影响的库版本的网站“可能仍然存在漏洞”，并建议用户检查网站是否使用非恶意的软件包 - 无论是版本2.0.4还是最新的2.0.8。

LottieFiles未立即回复对评论的请求。

加密货币-Sec: 2位审计师错过了2700万美元的Penpie漏洞，Pythia的’领取奖励’漏洞

• #黑客
• #Hacks
• #去中心化金融 添加反应