- В официальный пакет NPM XRP Ledger был внедрен бэкдор для кражи криптовалюты.
- Затронутые версии NPM — 4.2.1–4.2.4 и 2.14.2.
- Пользователям необходимо обновиться до исправленных версий и провести ротацию закрытых ключей.
Атака на цепочку поставок скомпрометировала официальный XRP Ledger JavaScript SDK, внедрив бэкдор в определенные версии NPM. Бэкдор в определенных версиях NPM был нацелен на кражу закрытого ключа, подвергая риску подключенные кошельки XRP.
SlowMist выпустила высокоприоритетное оповещение, призывающее к немедленному обновлению и ротации учетных данных.
Как вредоносный код поразил NPM
Атака была сосредоточена вокруг пакета xrpl NPM, который разработчики использовали для взаимодействия с блокчейном XRP Ledger. В период с 21 апреля в 20:53 GMT+0 и 22 апреля вредоносные версии 4.2.1 по 4.2.4 и 2.14.2 были опубликованы в NPM под легитимным именем пакета.
По теме: XRP Ledger Foundation быстро реагирует на ошибку XRPL.js; угроза нейтрализована
Однако неавторизованный пользователь «mukulljangid» создал эти версии. Эти версии включали код, который мог украсть закрытые ключи из криптокошельков.
В отличие от стандартных обновлений, эти релизы не были отражены в официальном репозитории GitHub, что вызвало тревогу в сообществе безопасности. Aikido, платформа мониторинга цепочки поставок программного обеспечения, первой выявила подозрительную активность и опубликовала свои выводы 21 апреля.
Как работал бэкдор
Бэкдор работал путем внедрения удаленной функции, которая подключалась к подозрительному домену: 0x9c[.]xyz. После активации он мог извлекать конфиденциальные данные, включая закрытые ключи, и отправлять их вовне. Код обходил традиционные проверки безопасности, скрываясь в доверенных программных библиотеках, подвергая риску широкий спектр приложений и пользователей.
Уязвимые версии уже были загружены тысячи раз до обнаружения. Учитывая, что пакет загружается более 140 000 раз в неделю, нарушение могло повлиять на многочисленные криптоориентированные приложения.
Исправление выпущено, рекомендованы срочные действия
Команда разработчиков XRP Ledger отреагировала удалением вредоносных версий и публикацией исправленных версий: 4.2.5 и 2.14.3.
Aikido призвал разработчиков принять немедленные меры для защиты своих систем и пользовательских данных. Во-первых, им следует обновиться до исправленных версий пакета XRP Ledger, в которых удален вредоносный код.
Крайне важно избегать установки и использования любых взломанных версий, поскольку они содержат бэкдоры, способные украсть конфиденциальную информацию.
Кроме того, разработчики должны ротировать любые закрытые ключи или секреты, которые могли быть раскрыты в период использования этих версий. Наконец, системы должны тщательно контролироваться на предмет любого подозрительного исходящего трафика, особенно подключений к домену 0x9c[.]xyz, который был связан с вредоносной активностью.
SlowMist подчеркнул, что разработчикам, использующим более ранние версии (до 4.2.1 или до 2.14.2), не следует обновляться напрямую до зараженных релизов. Вместо этого им следует сразу переходить к чистым версиям.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
