- В официальный пакет NPM XRP Ledger был внедрен бэкдор для кражи криптовалюты.
- Затронутые версии NPM — 4.2.1–4.2.4 и 2.14.2.
- Пользователям необходимо обновиться до исправленных версий и провести ротацию закрытых ключей.
Атака на цепочку поставок скомпрометировала официальный XRP Ledger JavaScript SDK, внедрив бэкдор в определенные версии NPM. Бэкдор в определенных версиях NPM был нацелен на кражу закрытого ключа, подвергая риску подключенные кошельки XRP.
SlowMist выпустила высокоприоритетное оповещение, призывающее к немедленному обновлению и ротации учетных данных.
Как вредоносный код поразил NPM
Атака была сосредоточена вокруг пакета xrpl NPM, который разработчики использовали для взаимодействия с блокчейном XRP Ledger. В период с 21 апреля в 20:53 GMT+0 и 22 апреля вредоносные версии 4.2.1 по 4.2.4 и 2.14.2 были опубликованы в NPM под легитимным именем пакета.
По теме: XRP Ledger Foundation быстро реагирует на ошибку XRPL.js; угроза нейтрализована
Однако неавторизованный пользователь «mukulljangid» создал эти версии. Эти версии включали код, который мог украсть закрытые ключи из криптокошельков.
В отличие от стандартных обновлений, эти релизы не были отражены в официальном репозитории GitHub, что вызвало тревогу в сообществе безопасности. Aikido, платформа мониторинга цепочки поставок программного обеспечения, первой выявила подозрительную активность и опубликовала свои выводы 21 апреля.
Как работал бэкдор
Бэкдор работал путем внедрения удаленной функции, которая подключалась к подозрительному домену: 0x9c[.]xyz. После активации он мог извлекать конфиденциальные данные, включая закрытые ключи, и отправлять их вовне. Код обходил традиционные проверки безопасности, скрываясь в доверенных программных библиотеках, подвергая риску широкий спектр приложений и пользователей.
Уязвимые версии уже были загружены тысячи раз до обнаружения. Учитывая, что пакет загружается более 140 000 раз в неделю, нарушение могло повлиять на многочисленные криптоориентированные приложения.
Исправление выпущено, рекомендованы срочные действия
Команда разработчиков XRP Ledger отреагировала удалением вредоносных версий и публикацией исправленных версий: 4.2.5 и 2.14.3.
Aikido призвал разработчиков принять немедленные меры для защиты своих систем и пользовательских данных. Во-первых, им следует обновиться до исправленных версий пакета XRP Ledger, в которых удален вредоносный код.
Крайне важно избегать установки и использования любых взломанных версий, поскольку они содержат бэкдоры, способные украсть конфиденциальную информацию.
По теме: Ripple делает ставку на 1,25 млрд долларов, что XRPL сможет справиться с объемом TradFi через Hidden Road
Кроме того, разработчики должны ротировать любые закрытые ключи или секреты, которые могли быть раскрыты в период использования этих версий. Наконец, системы должны тщательно контролироваться на предмет любого подозрительного исходящего трафика, особенно подключений к домену 0x9c[.]xyz, который был связан с вредоносной активностью.
SlowMist подчеркнул, что разработчикам, использующим более ранние версии (до 4.2.1 или до 2.14.2), не следует обновляться напрямую до зараженных релизов. Вместо этого им следует сразу переходить к чистым версиям.