La Fondation XRP Ledger a corrigé une vulnérabilité critique dans son SDK JavaScript officiel qui aurait pu permettre aux attaquants de voler des clés privées et de vider des portefeuilles de cryptomonnaie.
Le 22 avril, la XRP Ledger Foundation a publié une version mise à jour du package npm XRP Ledger, supprimant le code compromis et restaurant la fonctionnalité sécurisée pour les développeurs construisant sur le réseau.
Le package xrpl npm est la bibliothèque officielle JavaScript/TypeScript pour interagir avec le XRP Ledger. Les développeurs l'utilisent pour se connecter au réseau, gérer des portefeuilles, envoyer des transactions et construire des applications décentralisées en utilisant les fonctionnalités de XRPL.
La mise à jour est arrivée juste quelques heures après que la société de sécurité blockchain Aikido a signalé une activité suspecte dans cinq nouvelles versions publiées de la bibliothèque.
Selon le rapport d'Aikido, des acteurs malveillants avaient publié de fausses versions du paquet sur npm, à partir de 4.2.1. Ces versions ne correspondaient à aucun des versions officielles sur GitHub, un premier signe d'alerte qui a aidé les systèmes automatisés d'Aikido à détecter l'anomalie.
Notamment, des acteurs malveillants avaient "installé une porte dérobée pour voler les clés privées de cryptomonnaie et accéder aux portefeuilles de cryptomonnaie."
Ces paquets malveillants contenaient un code caché qui siphonnait discrètement les clés privées en pingant un domaine malveillant 0x9c.xyz qu'ils contrôlaient. La fonction malveillante était déclenchée chaque fois qu'un nouveau portefeuille était créé, remettant effectivement le contrôle des fonds à l'attaquant.
Aikido a qualifié la vulnérabilité de "potentiellement catastrophique", la qualifiant comme l'un des pires types d'attaques de la chaîne d'approvisionnement dans la crypto.
Étant donné que le package xrpl enregistre plus de 140 000 téléchargements hebdomadaires et qu'il est intégré dans des centaines de milliers de sites Web et d'applications, la porte dérobée avait le potentiel de compromettre une vaste partie de l'écosystème XRP presque silencieusement.
L'attaquant a également été vu en train de peaufiner les paquets malveillants à chaque version. Les premières versions (4.2.1 et 4.2.2) comprenaient des modifications uniquement dans les fichiers JavaScript intégrés, probablement pour éviter de susciter des soupçons lors des examens de code typiques. Les versions ultérieures, comme 4.2.3 et 4.2.4, ont injecté le code malveillant directement dans les fichiers source TypeScript, permettant au payload de persister à travers les builds.
Les chercheurs en Aikido ont exhorté les utilisateurs à cesser immédiatement d'utiliser les versions affectées et à faire pivoter toutes les clés privées ou phrases de récupération qui pourraient avoir été exposées. Ils ont également recommandé de scanner les journaux réseau pour les connexions au domaine 0x9c.xyz et de mettre à niveau vers les versions corrigées, 4.2.5 ou 2.14.3, afin d'assurer une sécurité continue.
Dans des mises à jour ultérieures, la fondation a confirmé que les packages compromis avaient été supprimés et que des projets clés, tels que XRPScan, First Ledger et Gen3 Games, n'avaient pas été affectés.
L'incident n'a pas déstabilisé les traders ; XRP a augmenté de 7,4 % au cours des dernières 24 heures, se négociant à 2,24 $ au moment de la rédaction.
Comme l'a précédemment rapporté crypto.news, le XRP Ledger a connu un autre incident majeur plus tôt cette année lorsqu'une interruption dans la validation des transactions a stoppé le réseau pendant près d'une heure le 5 février. Cependant, aucune perte de données n'a été signalée pendant l'incident.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
La Fondation XRP Ledger émet un correctif urgent pour le SDK XRPL compromis
La Fondation XRP Ledger a corrigé une vulnérabilité critique dans son SDK JavaScript officiel qui aurait pu permettre aux attaquants de voler des clés privées et de vider des portefeuilles de cryptomonnaie.
Le 22 avril, la XRP Ledger Foundation a publié une version mise à jour du package npm XRP Ledger, supprimant le code compromis et restaurant la fonctionnalité sécurisée pour les développeurs construisant sur le réseau.
Le package xrpl npm est la bibliothèque officielle JavaScript/TypeScript pour interagir avec le XRP Ledger. Les développeurs l'utilisent pour se connecter au réseau, gérer des portefeuilles, envoyer des transactions et construire des applications décentralisées en utilisant les fonctionnalités de XRPL.
La mise à jour est arrivée juste quelques heures après que la société de sécurité blockchain Aikido a signalé une activité suspecte dans cinq nouvelles versions publiées de la bibliothèque.
Selon le rapport d'Aikido, des acteurs malveillants avaient publié de fausses versions du paquet sur npm, à partir de 4.2.1. Ces versions ne correspondaient à aucun des versions officielles sur GitHub, un premier signe d'alerte qui a aidé les systèmes automatisés d'Aikido à détecter l'anomalie.
Notamment, des acteurs malveillants avaient "installé une porte dérobée pour voler les clés privées de cryptomonnaie et accéder aux portefeuilles de cryptomonnaie."
Ces paquets malveillants contenaient un code caché qui siphonnait discrètement les clés privées en pingant un domaine malveillant 0x9c.xyz qu'ils contrôlaient. La fonction malveillante était déclenchée chaque fois qu'un nouveau portefeuille était créé, remettant effectivement le contrôle des fonds à l'attaquant.
Aikido a qualifié la vulnérabilité de "potentiellement catastrophique", la qualifiant comme l'un des pires types d'attaques de la chaîne d'approvisionnement dans la crypto.
Étant donné que le package xrpl enregistre plus de 140 000 téléchargements hebdomadaires et qu'il est intégré dans des centaines de milliers de sites Web et d'applications, la porte dérobée avait le potentiel de compromettre une vaste partie de l'écosystème XRP presque silencieusement.
L'attaquant a également été vu en train de peaufiner les paquets malveillants à chaque version. Les premières versions (4.2.1 et 4.2.2) comprenaient des modifications uniquement dans les fichiers JavaScript intégrés, probablement pour éviter de susciter des soupçons lors des examens de code typiques. Les versions ultérieures, comme 4.2.3 et 4.2.4, ont injecté le code malveillant directement dans les fichiers source TypeScript, permettant au payload de persister à travers les builds.
Les chercheurs en Aikido ont exhorté les utilisateurs à cesser immédiatement d'utiliser les versions affectées et à faire pivoter toutes les clés privées ou phrases de récupération qui pourraient avoir été exposées. Ils ont également recommandé de scanner les journaux réseau pour les connexions au domaine 0x9c.xyz et de mettre à niveau vers les versions corrigées, 4.2.5 ou 2.14.3, afin d'assurer une sécurité continue.
Dans des mises à jour ultérieures, la fondation a confirmé que les packages compromis avaient été supprimés et que des projets clés, tels que XRPScan, First Ledger et Gen3 Games, n'avaient pas été affectés.
L'incident n'a pas déstabilisé les traders ; XRP a augmenté de 7,4 % au cours des dernières 24 heures, se négociant à 2,24 $ au moment de la rédaction.
Comme l'a précédemment rapporté crypto.news, le XRP Ledger a connu un autre incident majeur plus tôt cette année lorsqu'une interruption dans la validation des transactions a stoppé le réseau pendant près d'une heure le 5 février. Cependant, aucune perte de données n'a été signalée pendant l'incident.