Η συνιστώμενη κρυπτογράφηση κρυπτογράφησης RPM NPM JavaScript βιβλιοθήκη με την ονομασία “xrpl.js” διακυβεύτηκε για να κλέψει σπόρους πορτοφολιών XRP και ιδιωτικά κλειδιά και να τα μεταφέρει σε διακομιστή ελεγχόμενης από εισβολέα, επιτρέποντας στους ηθοποιούς απειλής να κλέψουν όλα τα κεφάλαια που αποθηκεύονται στα πορτοφόλι.
Ο κακόβουλος κώδικας προστέθηκε στις εκδόσεις 2.14.2, 4.2.1, 4.2.2, 4.2.3 και 4.2.4 του πακέτου XRPL NPM και δημοσιεύθηκε στο μητρώο NPM χθες μεταξύ 4:46 μ.μ. και 5:49 μ.μ. ET. Αυτές οι συμβιβασμένες εκδόσεις έχουν αφαιρεθεί από τότε και είναι τώρα διαθέσιμη μια καθαρή έκδοση 4.2.5 που όλοι οι χρήστες πρέπει να αναβαθμίσουν αμέσως.
Η βιβλιοθήκη XRPL.JS διατηρείται από το Ίδρυμα Ledger XRP (XRPLF) και είναι η συνιστώμενη βιβλιοθήκη του Ripple για αλληλεπίδραση με το Blockchain XRP μέσω JavaScript. Επιτρέπει λειτουργίες πορτοφολιών, μεταφορές XRP και άλλα χαρακτηριστικά του βιβλίου. Λόγω του ότι είναι η συνιστώμενη βιβλιοθήκη για αλληλεπίδραση με το blockchain XRP, έχει δει ευρεία υιοθεσία, με πάνω από 140.000 λήψεις την περασμένη εβδομάδα.
Η βιβλιοθήκη NPM τροποποιήθηκε με μια ύποπτη μέθοδο που ονομάζεται checkValidityOfSeed προσαρτημένο στο τέλος του “/src/index.ts“Αρχείο στις συμβιβασμένες εκδόσεις.
Αυτή η λειτουργία δέχεται μια συμβολοσειρά ως επιχείρημα, το οποίο στη συνέχεια διαβιβάζεται μέσω αιτήσεων δημοσίευσης HTTP https://0x9c[.]xyz/xcmόπου οι απειλές μπορούν να το συλλέξουν. Ο κώδικας προσπάθησε να είναι μυστικός χρησιμοποιώντας έναν πράκτορα χρήστη “Ad-Refferal” για να το κάνει να μοιάζει με ένα αίτημα διαφήμισης για συστήματα παρακολούθησης της κυκλοφορίας δικτύου.
Πηγή: BleepingComputer
Σύμφωνα με την εταιρεία ασφάλειας προγραμματιστών Αϊνιδόη λειτουργία checkValidityOfseed () καλείται σε διάφορες λειτουργίες όπου χρησιμοποιείται για να κλέψει τους σπόρους του πορτοφολιού XRP, τα ιδιωτικά κλειδιά και τα μνημεία.
Πηγή: Akido
Οι ηθοποιοί απειλών μπορούν να χρησιμοποιήσουν αυτές τις πληροφορίες για να εισαγάγουν ένα κλεμμένο πορτοφόλι XRP στις δικές τους συσκευές για να αποστραγγίσουν οποιαδήποτε κεφάλαια μέσα σε αυτό.
Ο BleepingComputer έχει διαπιστώσει ότι οι συμβιβασμένες εκδόσεις μεταφορτώθηκαν σε διαφορετικούς χρόνους και είχαν συνολικά 452 λήψεις:
- 4.2.1: Δευτέρα, 21 Απριλίου 2025 4: 46: 24.710 μ.μ. ET – 57 Λήψεις
- 4.2.2: Δευτέρα, 21 Απριλίου 2025 4: 55: 55.822 μμ ET-106 Λήψεις
- 4.2.3: Δευτέρα, 21 Απριλίου 2025 5: 32: 24.445 μ.μ. ET – 69 Λήψεις
- 2.14.2: Δευτέρα, 21 Απριλίου 2025 5: 37: 09.418 μμ ET – 41 Λήψεις
- 4.2.4: Δευτέρα, 21 Απριλίου 2025 5: 49: 35.179 μ.μ. ET – 179 Λήψεις
Ενώ οι συνολικές λήψεις δεν είναι μεγάλες, αυτή η βιβλιοθήκη ήταν πιθανό να χρησιμοποιηθεί για τη διαχείριση και τη διασύνδεση με πολύ μεγαλύτερο αριθμό πορτοφολιών XRP.
Ο κακόβουλος κώδικας φαίνεται να ήταν Προστέθηκε από έναν λογαριασμό προγραμματιστή που σχετίζονται με την οργάνωση Ripple, πιθανόν μέσω συμβιβασμένων διαπιστευτηρίων.
Οι κακόβουλες δεσμεύσεις δεν εμφανίζονται στο δημόσιο αποθετήριο GitHub, υποδεικνύοντας ότι η επίθεση μπορεί να έχει συμβεί κατά τη διάρκεια της διαδικασίας δημοσίευσης NPM.
“Εάν χρησιμοποιείτε μία από αυτές τις εκδόσεις, σταματήστε αμέσως και περιστρέφετε οποιοδήποτε ιδιωτικό κλειδιά ή μυστικά που χρησιμοποιούνται με τα προσβεβλημένα συστήματα. Το Ledger XRP υποστηρίζει την περιστροφή κλειδιών: https://xrpl.org/docs/tutorials/how-tos/manage-account-settings/assign-a-regular-key-pair. “
“Εάν το βασικό κλειδί ενός λογαριασμού είναι δυνητικά διακυβευόμενο, θα πρέπει να το απενεργοποιήσετε: https://xrpl.org/docs/tutorials/how-tos/manage-account-settings/disable-master-key-pair. “
Αυτή η επίθεση της αλυσίδας εφοδιασμού είναι παρόμοια με τους προηγούμενους συμβιβασμούς των NPMs Ethereum και Solana που χρησιμοποιούνται για την κλέψιμο σπόρων πορτοφολιών και ιδιωτικών κλειδιών.
VIA: bleepingcomputer.com
