incrypted.com
- Аналитик Aikido Security сообщил об уязвимости экосистемы $XRP Ledger.
- Причиной стал бэкдор в библиотеке $XRP на NPM, который скомпрометировал приватные ключи.
- Команда сети подтвердила наличие проблемы в библиотеке и планирует подготовить подробный отчет о хакерской атаке.
Исследователь вредоносного программного обеспечения из компании Aikido Security Чарли Эриксен обнаружил уязвимость в JavaScript-библиотеке xrpl.js, которая используется для взаимодействия с блокчейном $XRP Ledger. Он назвал проблему «потенциально катастрофической атакой на сеть снабжения».
«Официальный пакет xrpl на NPM был скомпрометирован изощренными злоумышленниками, которые внедрили бэкдор для похищения приватных ключей и доступа к криптокошелькам», — сообщил Эриксен.
21 апреля система Aikido Intel обнаружила пять новых подозрительных версий пакета xrpl, официального набора для разработки программного обеспечения (SDK) для взаимодействия с $XRP Ledger, который еженедельно загружается более 140 000 раз.
Уязвимость затронула версии 4.2.1-4.2.4 и 2.14.2 библиотеки xrpl.js, размещенной на NPM (Node Package Manager) — сервисе для распространения JavaScript-пакетов. После обнаружения инцидента команда $XRP Ledger оперативно выпустила обновление v4.2.5, которое перекрывает бэкдор.
To clarify: This vulnerability is in xrpl.js, a JavaScript library for interacting with the $XRP Ledger. It does NOT affect the $XRP Ledger codebase or Github repository itself. Projects using xrpl.js should upgrade to v4.2.5 immediately.
— $XRP Ledger Foundation (Official) (@XRPLF) April 22, 2025
«Эта уязвимость касается только библиотеки xrpl.js. Она не затрагивает сам $XRP Ledger или его репозиторий на GitHub. Все проекты, которые используют эту библиотеку, должны немедленно обновиться до версии 4.2.5», — отметили в $XRP Ledger Foundation.
Согласно техническому анализу от Aikido, модифицированные версии библиотеки содержали зашифрованный вредоносный JavaScript-код, который автоматически устанавливал бэкдор через новую зависимость secure-random-bytes. Этот модуль имел функционал сбора приватных ключей и отправки их на внешний сервер, связанный с киберпреступниками.
«Если вы подозреваете, что ваша система была поражена, считается, что все приватные ключи, обработанные этим кодом, скомпрометированы. Необходимо срочно перенести все активы на новый кошелек с новым ключом», — подчеркнул Эриксен.
Представители таких проектов, как Xaman Wallet и XRPScan, уже сообщили, что их сервисы не пострадали, поскольку не использовали взломанные версии библиотеки.
$XRP Ledger Foundation также пообещала опубликовать отчет после детального анализа того, как произошла компрометация официального пакета на NPM.
Напомним, что хакеры из Lazarus Group использовали вредоносный бэкдор Manuscrypt для разведки и сбора информации о потенциальных целях.