incrypted.com
- Аналитик Aikido Security сообщил об уязвимости экосистемы XRP Ledger.
- Причиной стал бэкдор в библиотеке XRP на NPM, который скомпрометировал приватные ключи.
- Команда сети подтвердила наличие проблемы в библиотеке и планирует подготовить подробный отчет о хакерской атаке.
Исследователь вредоносного программного обеспечения из компании Aikido Security Чарли Эриксен обнаружил уязвимость в JavaScript-библиотеке xrpl.js, которая используется для взаимодействия с блокчейном XRP Ledger. Он назвал проблему «потенциально катастрофической атакой на сеть снабжения».
«Официальный пакет xrpl на NPM был скомпрометирован изощренными злоумышленниками, которые внедрили бэкдор для похищения приватных ключей и доступа к криптокошелькам», — сообщил Эриксен.
21 апреля система Aikido Intel обнаружила пять новых подозрительных версий пакета xrpl, официального набора для разработки программного обеспечения (SDK) для взаимодействия с XRP Ledger, который еженедельно загружается более 140 000 раз.
Уязвимость затронула версии 4.2.1-4.2.4 и 2.14.2 библиотеки xrpl.js, размещенной на NPM (Node Package Manager) — сервисе для распространения JavaScript-пакетов. После обнаружения инцидента команда XRP Ledger оперативно выпустила обновление v4.2.5, которое перекрывает бэкдор.
To clarify: This vulnerability is in xrpl.js, a JavaScript library for interacting with the XRP Ledger. It does NOT affect the XRP Ledger codebase or Github repository itself. Projects using xrpl.js should upgrade to v4.2.5 immediately.
— XRP Ledger Foundation (Official) (@XRPLF) April 22, 2025
«Эта уязвимость касается только библиотеки xrpl.js. Она не затрагивает сам XRP Ledger или его репозиторий на GitHub. Все проекты, которые используют эту библиотеку, должны немедленно обновиться до версии 4.2.5», — отметили в XRP Ledger Foundation.
Согласно техническому анализу от Aikido, модифицированные версии библиотеки содержали зашифрованный вредоносный JavaScript-код, который автоматически устанавливал бэкдор через новую зависимость secure-random-bytes. Этот модуль имел функционал сбора приватных ключей и отправки их на внешний сервер, связанный с киберпреступниками.
«Если вы подозреваете, что ваша система была поражена, считается, что все приватные ключи, обработанные этим кодом, скомпрометированы. Необходимо срочно перенести все активы на новый кошелек с новым ключом», — подчеркнул Эриксен.
Представители таких проектов, как Xaman Wallet и XRPScan, уже сообщили, что их сервисы не пострадали, поскольку не использовали взломанные версии библиотеки.
XRP Ledger Foundation также пообещала опубликовать отчет после детального анализа того, как произошла компрометация официального пакета на NPM.
Напомним, что хакеры из Lazarus Group использовали вредоносный бэкдор Manuscrypt для разведки и сбора информации о потенциальных целях.