LottieFilesは、悪意のあるコードがユーザーを暗号資産ウォレットに接続させ、資産が盗まれる可能性がある供給チェーンの脆弱性を報告しました。LottieFilesのnpmパッケージに関連するこのセキュリティ侵害は、特にLottie Web Playerのバージョン2.0.5、2.0.6、2.0.7が影響を受けており、10月30日に不審なコードが注入されたという複数のユーザーからの報告を受けて、10月31日に新しいバージョン2.0.8がリリースされ、安全なコードに戻されました。影響を受けたバージョンを利用しているユーザーは、暗号資産ウォレットの接続を促す不正なメッセージの可能性があるため、注意が必要です。LottieFilesは、更新できないユーザーには、影響を避けるためにバージョン2.0.4の利用を推奨しています。また、悪意のあるアップロードに関連する開発者アカウントはアクセスが無効化され、関連トークンは無効化されたものの、攻撃の全貌はまだ不明です。
