"XRPL.JS" adlı önerilen dalgalanma kripto para birimi NPM JavaScript kütüphanesi, XRP cüzdan tohumlarını ve özel anahtarları çalmak ve bunları saldırgan kontrollü bir sunucuya aktarmak için tehlikeye atıldı ve tehdit aktörlerinin cüzdanlarda depolanan tüm fonları çalmasına izin verdi.
XRPL NPM paketinin 2.14.2, 4.2.1, 4.2.2, 4.2.3 ve 4.2.4 sürümlerine kötü amaçlı kod eklendi ve dün 16:46 ile 17:49 PM ET. Bu tehlikeye atılmış sürümler o zamandan beri kaldırıldı ve tüm kullanıcıların hemen yükseltmesi gereken temiz bir 4.2.5 sürümü mevcut.
XRPL.JS kütüphanesi, XRP Ledger Vakfı (XRPLF) tarafından korunur ve Ripple'ın JavaScript aracılığıyla XRP blockchain ile etkileşime girmesi için önerilen kitaplıktır. Cüzdan işlemlerini, XRP transferlerini ve diğer defter özelliklerini sağlar. XRP blockchain ile etkileşim kurmak için önerilen kütüphane olması nedeniyle, geçtiğimiz hafta 140.000'den fazla indirme ile yaygın bir şekilde benimsendi.
NPM kütüphanesi, tehlikeye atılan sürümlerde "/src/index.ts" dosyasının sonuna eklenen checkValididityOfseed adlı şüpheli bir yöntemle değiştirildi.
Bu işlev, bir diziyi bir bağımsız değişken olarak kabul eder, bu da daha sonra https: // 0x9c [.] XYZ/XCM'ye HTTP Post istekleri aracılığıyla iletilir. Kod, ağ trafik izleme sistemlerine bir reklam isteği gibi görünmesini sağlamak için "reklam-reffal" kullanıcı aracısı kullanarak gizli olmaya çalıştı.
Geliştirici güvenlik şirketi Aikido'ya göre, checkValidididoFseed () işlevi, XRP cüzdanının tohumlarını, özel anahtarlarını ve anımsatanlarını çalmak için kullanıldığı çeşitli işlevlerde çağrılır.
Tehdit aktörleri bu bilgileri, içindeki fonları boşaltmak için kendi cihazlarına çalınan bir XRP cüzdanını içe aktarmak için kullanabilir.
BleepingComputer, tehlikeye atılan sürümlerin farklı zamanlarda yüklendiğini ve toplam 452 indirme yaptığını belirledi:
Toplam indirmeler büyük olmasa da, bu kütüphane muhtemelen çok daha fazla sayıda XRP cüzdanı yönetmek ve arayüz oluşturmak için kullanılmıştır.
Kötü niyetli kodun, Ripple organizasyonu ile ilişkili bir geliştirici hesabı tarafından muhtemelen tehlikeye atılmış kimlik bilgileri ile eklenmiş gibi görünmektedir.
Kötü niyetli taahhütler, kamu GitHub deposunda görünmez, bu da saldırının NPM yayınlama sürecinde meydana gelebileceğini gösterir.
"Bu sürümlerden birini kullanıyorsanız, hemen durun ve etkilenen sistemlerle kullanılan özel tuşları veya sırları döndürün. XRP defteri anahtar rotasyonu destekler: https://xrpl.org/docs/tutorials/assign-a--adular-wair-pair."
"Herhangi bir hesabın ana anahtarı potansiyel olarak tehlikeye atılırsa, devre dışı bırakmalısınız: https://xrpl.org/docs/tutorials/how-tos/manage-account-settings/disable-master-key-pair."
Bu tedarik zinciri saldırısı, cüzdan tohumlarını ve özel anahtarları çalmak için kullanılan Ethereum ve Solana NPM'lerinin önceki uzlaşmalarına benzer.
Cüzdan tohumu cümleli e -postaların arkasında zehirli kimlik avı kampanyası
US, LastPass ihlallerine bağlı kriptoda 23 milyon dolar ele geçiriyor
Kuzey Koreli Lazarus hackerları yüzlerce NPM paketiyle enfekte
Sahte Microsoft Office Eklenti Araçları, SourceForge aracılığıyla kötü amaçlı yazılımları itin
Kuzey Koreli bilgisayar korsanları, kripto firmalarını hedeflemek için tıklama saldırıları benimsiyor
Kaynak: Bleeping Computer