Shambulio lililolengwa la msururu wa ugavi linalohusisha kifurushi cha npm kinachotumika sana @lottiefiles/lottie-player limefichuliwa, na kuangazia udhaifu katika utegemezi wa programu. Kulingana na utafiti uliochapishwa na ReversingLabs wiki iliyopita, matoleo mabaya ya kifurushi hicho yalitolewa mapema mwaka huu. Maelezo Muhimu ya Tukio Kifurushi cha @lottiefiles/lottie-player kilipakuliwa takriban mara 84,000 kila wiki na hutumiwa kupachika na kucheza uhuishaji wa Lottie kwenye tovuti. Ingawa kwa kawaida ni salama, watendaji hasidi walihatarisha kifurushi hivi majuzi kwa kuchapisha matoleo matatu hasidi – 2.0.5, 2.0.6 na 2.0.7 – kupitia tokeni ya ufikiaji ambayo haijaidhinishwa kutoka kwa akaunti iliyobahatika ya msanidi programu. Masasisho haya hasidi yalikuwa na msimbo uliobadilishwa ambao ulianzisha madirisha ibukizi na kusababisha watumiaji kuunganisha pochi zao za web3. Baada ya kuunganishwa, washambuliaji walipata ufikiaji wa kuondoa mali ya wahasiriwa wa pochi ya crypto. Wasanidi programu waliripoti suala hili haraka baada ya kugundua tabia zisizo za kawaida kwenye tovuti zilizoathiriwa, na hivyo kusababisha majadiliano kwenye mabaraza na GitHub. Majibu ya Haraka Kutoka kwa Watunzaji LottieFiles walijibu mara moja kwa ukiukaji, ikifanya kazi na npm kuondoa matoleo hasidi na kuchapisha toleo safi kulingana na toleo salama la mwisho – toleo la 2.0.4. Wasanidi programu wanaotumia usanidi wa @latest utegemezi walipokea masasisho ya kiotomatiki, na kupunguza athari zinazoweza kutokea. Soma zaidi kuhusu usalama wa mnyororo wa ugavi: CISA Inahimiza Maboresho katika Uwazi wa Msururu wa Ugavi wa Programu za Marekani Jinsi Maelewano Yalivyogunduliwa Watafiti wa ReversingLabs walifanya uchanganuzi tofauti kati ya matoleo salama ya 2.0.4 na matoleo hasidi ya 2.0.7. Hili lilifichua mabadiliko makubwa, ikiwa ni pamoja na: Kuongezeka kwa ukubwa wa faili bila uhalali wa kiutendaji Utangulizi wa URL zinazohusishwa na ubadilishaji wa Bitcoin Kuondolewa kwa tabia za kawaida, kama hesabu ya onyesho Uchambuzi wao pia ulialamisha sera za kuwinda vitisho ambazo ziligundua mifumo sawa na mashambulizi yanayojulikana ya ugavi wa programu, kama vile crypto. – utambuzi wa ishara. Masomo Kwa Wasanidi Programu Shambulio linasisitiza umuhimu wa kubandika vitegemezi kwenye matoleo mahususi, yaliyohakikiwa ili kuepuka udhaifu katika vifurushi vilivyosasishwa kiotomatiki. Tathmini ya usalama ya mara kwa mara ya utegemezi na ujenzi wa mabomba pia ni muhimu ili kutambua hatari zinazowezekana. “Kwa upande wa @lottiefiles/lottie-player, maelewano ya ugavi yaligunduliwa haraka. Hata hivyo, hiyo haimaanishi kuwa waigizaji hasidi hawakuweza kufanya kazi katika siku zijazo kuwa wasiri zaidi na bora zaidi katika kuficha kanuni zao hasidi,” ReversingLabs ilionya. “Ndio maana ni muhimu kwa wasanidi programu kufanya tathmini za usalama ambazo zinaweza kuthibitisha uadilifu na ubora wa maktaba ya umma, vyanzo huria kwa usalama kabla ya kutumika.”