"XRPL.JS" adlı önerilen dalgalanma kripto para birimi NPM JavaScript kütüphanesi, XRP cüzdan tohumlarını ve özel anahtarları çalmak ve bunları saldırgan kontrollü bir sunucuya aktarmaktan ödün verildi ve tehdit aktörlerinin cüzdanlarda depolanan tüm fonları çalmasına izin verdi.
XRPL NPM paketinin 2.14.2, 4.2.1, 4.2.2, 4.2.3 ve 4.2.4 sürümlerine kötü amaçlı kod eklendi ve dün 16:46 ile 17:49 PM ET. Bu tehlikeye atılmış sürümler o zamandan beri kaldırıldı ve tüm kullanıcıların hemen yükseltmesi gereken temiz bir 4.2.5 sürümü mevcut.
XRPL.JS kütüphanesi, XRP Ledger Vakfı (XRPLF) tarafından korunur ve Ripple'ın JavaScript aracılığıyla XRP blockchain ile etkileşime girmesi için önerilen kitaplıktır. Cüzdan işlemlerini, XRP transferlerini ve diğer defter özelliklerini sağlar. XRP blockchain ile etkileşim kurmak için önerilen kütüphane olması nedeniyle, geçtiğimiz hafta 140.000'den fazla indirme ile yaygın bir şekilde benimsendi.
NPM kütüphanesi, tehlikeye atılan sürümlerde "/src/index.ts" dosyasının sonuna eklenen checkValididityOfseed adlı şüpheli bir yöntemle değiştirildi.
Bu işlev, bir diziyi bir bağımsız değişken olarak kabul eder, bu da daha sonra https: // 0x9c [.] XYZ/XCM'ye HTTP Post istekleri aracılığıyla iletilir. Kod, ağ trafik izleme sistemlerine bir reklam isteği gibi görünmesini sağlamak için "reklam-reffal" kullanıcı aracısı kullanarak gizli olmaya çalıştı.
Geliştirici güvenlik şirketi Aikido'ya göre, checkValidididoFseed () işlevi, XRP cüzdanının tohumlarını, özel anahtarlarını ve anımsatanlarını çalmak için kullanıldığı çeşitli işlevlerde çağrılır.
Tehdit aktörleri bu bilgileri, içindeki fonları boşaltmak için kendi cihazlarına çalınan bir XRP cüzdanını içe aktarmak için kullanabilir.
BleepingComputer, tehlikeye atılan sürümlerin farklı zamanlarda yüklendiğini ve toplam 452 indirme yaptığını belirledi:
Toplam indirmeler büyük olmasa da, bu kütüphane muhtemelen çok daha fazla sayıda XRP cüzdanı yönetmek ve arayüz oluşturmak için kullanılmıştır.
Kötü niyetli kodun, Ripple organizasyonu ile ilişkili bir geliştirici hesabı tarafından muhtemelen tehlikeye atılmış kimlik bilgileri ile eklenmiş gibi görünmektedir.
Kötü niyetli taahhütler, kamu GitHub deposunda görünmez, bu da saldırının NPM yayınlama sürecinde meydana gelebileceğini gösterir.
"Bu sürümlerden birini kullanıyorsanız, hemen durun ve etkilenen sistemlerle kullanılan özel tuşları veya sırları döndürün. XRP defteri anahtar rotasyonu destekler: https://xrpl.org/docs/tutorials/assign-a--adular-wair-pair."
"Herhangi bir hesabın ana anahtarı potansiyel olarak tehlikeye atılırsa, devre dışı bırakmalısınız: https://xrpl.org/docs/tutorials/how-tos/manage-account-settings/disable-master-key-pair."
Geliştiriciler ayrıca X'e gönderilerek XRP Ledger kod tabanının veya GitHub deposunun etkilenmediğini belirterek.
"Açıklığa kavuşturmak için: Bu güvenlik açığı, XRP defteri ile etkileşim kurmak için bir JavaScript kütüphanesi olan XRPL.js'dedir. XRP Ledger kod tabanını veya Github deposunun kendisini etkilemez. XRPL.JS'yi kullanan projeler hemen v4.2.5'e yükseltmelidir," XRP Ledger Foundation.
Geliştiriciler ayrıca Xaman cüzdanı, xrpscan, ilk defter ve Gen3 oyun projelerinin tedarik zinciri saldırısından etkilenmediğini doğruladılar.
Bu tedarik zinciri saldırısı, cüzdan tohumlarını ve özel anahtarları çalmak için kullanılan Ethereum ve Solana NPM'lerinin önceki uzlaşmalarına benzer.
GÜNCELLEME 4/22/25: XRP Ledger Vakfı'ndan X'e gönderilen açıklama eklendi.
Cüzdan tohumu cümleli e -postaların arkasında zehirli kimlik avı kampanyası
US, LastPass ihlallerine bağlı kriptoda 23 milyon dolar ele geçiriyor
Kuzey Koreli Lazarus hackerları yüzlerce NPM paketiyle enfekte
Bilgisayar korsanları kötüye kullanma Kript-hırsızlık saldırıları için uzaktan kumanda özelliği
Sahte Microsoft Office Eklenti Araçları, SourceForge aracılığıyla kötü amaçlı yazılımları itin
Kaynak: Bleeping Computer