coinedition.com
- Предупреждение о безопасности: бэкдор в пакете XRPL.js NPM (v4.2.1-4) украл закрытые ключи. Технический директор Ripple предупреждает разработчиков; выпущена защищенная версия 4.2.5.
- Скомпрометирован был только дистрибутив NPM, репозиторий GitHub остался нетронутым.
- Версия 4.2.5 выпущена быстро для исправления уязвимости и обеспечения безопасности сред разработки
Критическое нарушение безопасности потрясло сообщество разработчиков XRP после обнаружения бэкдора в пакете XRPL.js версий 4.2.1–4.2.4 на NPM. Вредоносный код, присутствующий в версиях 4.2.1–4.2.4, был способен красть закрытые ключи пользователей и передавать их злоумышленникам.
Это побудило главного технического директора Ripple Дэвида Шварца выпустить публичное предупреждение. Разработчикам, использующим эти скомпрометированные версии, настоятельно рекомендуется рассматривать любые раскрытые учетные данные как скомпрометированные.
Critical warning for anyone using XRPL.js from NPM. https://t.co/3zV45jNT1t
— David "JoelKatz" Schwartz (@JoelKatz) April 22, 2025
Нарушение ограничено NPM; Core Ledger Safe
Взлом, о котором впервые сообщила Aikido Security, показал, что распределение NPM XRPL.js было изменено с помощью кода для кражи ключей; репозиторий GitHub не был затронут. Это говорит о том, что был скомпрометирован только канал NPM.
По теме: Стейблкоин RLUSD от Ripple запущен для кредитования и заимствования на Aave V3
Следовательно, разработчики, использующие надежные источники, такие как GitHub, остаются незатронутыми. Старший инженер RippleX Маюха Вадари подтвердила, что ядро XRP Ledger по-прежнему безопасно и работает нормально.
The XRP Ledger itself is unaffected by this. The malware packages only affect services that use xrpl.js and upgraded to the malicious versions that were published less than 24 hours ago. Github remains safe, only npm was compromised.
— Mayukha Vadari (@msvadari) April 22, 2025
Please avoid using any services that have… https://t.co/ySWcl50Pmf
Выпущено быстрое исправление, экосистема реагирует
Менее чем за 24 часа вредоносные версии были удалены из NPM. Безопасная версия 4.2.5 теперь опубликована как исправление. Кроме того, пользователи, работающие в ветке 2.x, могут безопасно использовать версию 2.14.3. Быстрые действия XRP Ledger Foundation и более широкой команды разработчиков Ripple помогли сдержать то, что могло стать широкомасштабной угрозой.
По теме: Мечты Ripple о публичном листинге зависят от решения одного судьи о продаже
Эксплойт вызвал обеспокоенность в сообществе разработчиков блокчейна, особенно сервисов, интегрирующих XRPL.js. Поставщики кошельков Xaman, First Ledger и Gen3Games заявили, что они не были скомпрометированы. Фонд XRP Ledger также удалил вредоносные пакеты.