Aanvallers zijn erin geslaagd om cryptostelende malware toe te voegen aan de npm-package van Lottie-Player, zo waarschuwt LottieFiles. LottieFiles is een library van Lottie-animaties, een bestandsformaat voor vectoranimaties. Lottie-animaties zijn in websites, apps en andere digitale producten te gebruiken en moeten voor 'beweging en interactiviteit' zorgen, aldus de uitleg. Volgens LottieFiles worden de animaties en diensten die het biedt door bijna tien miljoen ontwerpers en ontwikkelaars van meer dan 280.000 bedrijven wereldwijd gebruikt.

Voor het embedden en weergeven van Lottie-animaties op websites is er de Lottie-Player, die via npm wordt aangeboden. Dit is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages.

LottieFiles meldt via X dat het aanvallers is gelukt om nieuwe versies van Lottie-Player te verspreiden die zijn voorzien van malware. Volgens de verklaring konden de aanvallers deze besmette versies verspreiden door middel van een gestolen access token van een ontwikkelaar die over de vereiste permissies beschikte. Hoe dit token kon worden gestolen laat LottieFiles niet weten.

De malware in de besmette Lottie-Player probeerde toegang tot de cryptowallets van gebruikers te krijgen. De besmette versies zijn inmiddels verwijderd en er is een nieuwe, schone versie gepubliceerd. Ontwikkelaars en ontwerpers die hun player niet meteen kunnen updaten wordt aangeraden om naar eindgebruikers van de Lottie-Player te communiceren dat ze verzoeken om hun cryptowallets te koppelen moeten negeren.