- Puerta trasera en XRPL.js paquetes NPM claves privadas expuestas en las versiones 4.2.1 a 4.2.4
- Solo la distribución de NPM se vio comprometida, el repositorio de GitHub no se ve afectado
- La versión 4.2.5 se lanzó rápidamente para parchear vulnerabilidades y proteger los entornos de desarrollo
Una brecha de seguridad crítica ha sacudido a la comunidad de desarrollo de XRP tras el descubrimiento de una puerta trasera en las versiones de paquete XRPL.js 4.2.1 a 4.2.4 en NPM. El código malicioso, presente en las versiones 4.2.1 a 4.2.4, era capaz de robar las claves privadas de los usuarios y transmitirlas a los atacantes.
Esto llevó al director de tecnología de Ripple, David Schwartz, a emitir una advertencia pública. Se recomienda encarecidamente a los desarrolladores que utilicen estas versiones comprometidas que traten las credenciales expuestas como comprometidas.
Violación limitada a NPM; Caja fuerte Core Ledger
La violación, reportada por primera vez por Aikido Security, reveló que la distribución de NPM de XRPL.js fue alterada con código de robo de claves; el repositorio de GitHub no se vio afectado. Esto sugiere que solo el canal NPM se vio comprometido.
Relacionado: La stablecoin RLUSD de Ripple se pone en marcha para préstamos y préstamos en Aave V3
En consecuencia, los desarrolladores que utilizan fuentes de confianza como GitHub no se ven afectados. El ingeniero senior de RippleX, Mayukha Vadari, confirmó que el núcleo de XRP Ledger sigue siendo seguro y funciona normalmente.
Se emite una solución rápida, el ecosistema responde
En menos de 24 horas, las versiones maliciosas fueron eliminadas de NPM. Ahora se ha publicado una versión segura, 4.2.5, como corrección. Además, los usuarios que operan en la rama 2.x pueden utilizar de forma segura la versión 2.14.3. La rápida acción de la Fundación XRP Ledger y el equipo de desarrollo de Ripple en general ayudó a contener lo que podría haber sido una amenaza generalizada.
Relacionado: Los sueños de cotización pública de Ripple dependen de la decisión de venta de un juez
El exploit generó preocupación en toda la comunidad de desarrolladores de blockchain, particularmente en los servicios que integran XRPL.js. Los proveedores de billeteras Xaman, First Ledger y Gen3Games anunciaron que no se vieron comprometidos. La XRP Ledger Foundation también eliminó los paquetes maliciosos.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
