LottieFiles/lottie-player项目遭遇供应链攻击事件分析

近日，LottieFiles旗下的lottie-player项目遭遇了严重的供应链攻击事件。这一事件引起了开发者社区的广泛关注，也再次提醒我们开源项目安全性的重要性。

事件概述

在2024年10月31日，多位开发者报告称，当他们使用lottie-player的最新CDN版本时，网站会弹出可疑的支付系统连接请求。这些异常行为出现在2.0.5及更高版本中，而2.0.4版本则表现正常。

技术分析

经过开发者社区的分析，发现攻击者可能通过以下途径实施了攻击：

1. NPM包劫持：攻击者可能获取了项目的NPM发布凭证，绕过了GitHub的版本控制，直接在NPM上发布了恶意版本2.0.5和2.0.6。

2. 恶意代码特征：被篡改的版本中包含大量与支付系统相关的代码，会强制弹出连接支付平台的请求，存在明显的安全隐患。

3. 版本差异：GitHub仓库的最新版本仍为8个月前发布的2.0.4，而NPM上突然出现了未经GitHub发布的2.0.5和2.0.6版本，这一异常现象引起了开发者的警觉。

影响范围

受影响的版本包括：

• 通过unpkg或jsDelivr引用的2.0.5及以上版本
• 使用@latest标签引用的版本

解决方案

对于受影响的开发者，建议采取以下措施：

1. 立即降级：将引用版本固定到已知安全的2.0.4版本

2. 移除可疑依赖：检查并移除项目中所有对受影响版本的引用

3. 安全加固：

   • 实施内容安全策略(CSP)防止类似注入攻击
   • 避免在生产环境中使用@latest等动态版本标签
   • 定期审计第三方依赖

经验教训

这一事件为我们提供了宝贵的安全经验：

1. 供应链安全：即使是知名开源项目也可能成为攻击目标，需要建立完善的发布流程和凭证管理机制

2. 版本控制：生产环境应避免使用动态版本标签，而应明确指定经过验证的版本号

3. 监控机制：建立对第三方依赖的监控机制，及时发现异常行为

结语

LottieFiles/lottie-player事件再次提醒我们开源生态系统的脆弱性。作为开发者，我们既要享受开源带来的便利，也要保持必要的警惕，建立完善的安全防护措施。建议所有受影响用户及时采取补救措施，并持续关注项目的官方更新。