- O pacote NPM oficial do XRP Ledger foi injetado com um backdoor de roubo de criptografia.
- As versões afetadas do NPM são 4.2.1 a 4.2.4 e 2.14.2.
- Os usuários devem atualizar para versões corrigidas e girar as chaves privadas.
Um ataque à cadeia de suprimentos comprometeu o SDK oficial do XRP Ledger JavaScript, injetando um backdoor em versões específicas do NPM. Um backdoor em versões específicas do NPM visava o roubo de chaves privadas, colocando em risco as carteiras XRP conectadas.
A SlowMist emitiu um alerta de alta prioridade pedindo atualizações imediatas e rotação de credenciais.
Como o código malicioso atingiu o NPM
O ataque se concentrou no pacote xrpl NPM, usado pelos desenvolvedores para interagir com a blockchain XRP Ledger. Entre 21 de abril às 20:53 GMT+0 e 22 de abril, as versões maliciosas 4.2.1 a 4.2.4 e 2.14.2 foram publicadas no NPM sob um nome de pacote legítimo.
Relacionado: XRP Ledger Foundation age rapidamente em XRPL.js bug; Ameaça neutralizada
No entanto, um usuário não autorizado, “mukulljangid” fez essas versões. Essas versões incluíam código que poderia roubar chaves privadas de carteiras de criptomoedas.
Ao contrário das atualizações padrão, essas versões não foram espelhadas no repositório oficial do GitHub, gerando sinais de alerta na comunidade de segurança. A Aikido, uma plataforma de monitoramento da cadeia de suprimentos de software, identificou pela primeira vez a atividade suspeita e publicou suas descobertas em 21 de abril.
Como funcionava o backdoor
O backdoor operava introduzindo uma função remota que se conectava a um domínio suspeito: 0x9c[.]Xyz. Uma vez ativo, ele pode extrair dados confidenciais, incluindo chaves privadas, e enviá-los externamente. O código contornou as verificações de segurança tradicionais, escondendo-se em bibliotecas de software confiáveis, expondo uma ampla gama de aplicativos e usuários a riscos.
As versões afetadas já haviam sido baixadas milhares de vezes antes da descoberta. Dado que o pacote tem mais de 140.000 downloads semanais, a violação pode ter afetado vários aplicativos focados em criptografia.
Correção emitida, ações urgentes aconselhadas
A equipe de desenvolvimento do XRP Ledger respondeu removendo as versões maliciosas e publicando versões corrigidas: 4.2.5 e 2.14.3.
O Aikido pediu aos desenvolvedores que tomem medidas imediatas para proteger seus sistemas e dados do usuário. Primeiro, eles devem atualizar para as versões corrigidas do pacote XRP Ledger, que removeram o código malicioso.
É fundamental evitar instalar ou usar versões comprometidas, pois elas contêm backdoors capazes de roubar informações confidenciais.
Ripple aposta US$ 1,25 bilhão que XRPL pode lidar com volume de TradFi via estrada oculta
Além disso, os desenvolvedores devem girar todas as chaves privadas ou segredos que possam ter sido expostos durante o período em que essas versões estiveram em uso. Por fim, os sistemas devem ser cuidadosamente monitorados quanto a qualquer tráfego de saída suspeito, especialmente conexões com o domínio 0x9c[.]xyz, que foi vinculado à atividade maliciosa.
O SlowMist enfatizou que os desenvolvedores que usam versões anteriores (pré-4.2.1 ou pré-2.14.2) não devem atualizar diretamente para as versões infectadas. Em vez disso, eles devem pular direto para as versões limpas.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
