Ripple 加密货币库在一场旨在窃取用户私钥的供应链攻击中遭到了入侵。
威胁行为者入侵了 Ripple 加密货币的 npm JavaScript 库 xrpl.js,以获取用户的私钥。
xrpl.js 是将 JavaScript/TypeScript 应用程序与 Ripple(XRP)集成的推荐库,每周下载量超过 14 万次。成千上万的应用程序和网站都使用这个软件包,到目前为止,该软件包的下载量已超过 290 万次。
4 月 21 日,Aikido Intel 检测到,作为供应链攻击的一部分,官方的 NPM 软件包被植入了后门程序。
Aikido Intel 发布的报告中写道:“格林尼治标准时间 + 0 4 月 21 日 20 点 53 分,我们 Aikido Intel 的系统开始发出警报,提示 xrpl 软件包出现了五个新的版本。它是 XRP Ledger 的官方软件开发工具包(SDK),每周下载量超过 14 万次。” “我们很快确认,官方的 Ripple(XPRL,即 Ripple)NPM 软件包已被老练的攻击者入侵,他们植入了一个后门程序,以窃取加密货币的私钥并获取对加密货币钱包的访问权限。”
研究人员对这次供应链攻击进行了调查,发现五个软件包版本(4.2.1、4.2.2、4.2.3、4.2.4 和 2.14.2)包含恶意代码。用户 “xrpl’mukulljangid” 从格林尼治标准时间 + 0 4 月 21 日 20 点 53 分开始发布了该库的所有五个含有恶意软件的版本。
研究人员注意到,代码中存在一个名为 checkValidityOfSeed 的函数,该函数被用于将窃取到的信息泄露到域名 “0x9c [.] xyz”。
目前尚不清楚这次攻击的幕后黑手是谁,不过专家指出,随着攻击者不断完善他们的攻击方法,出现了多次版本更新。4.2.1 版本删除了关键配置;4.2.2 版本引入了恶意 JavaScript 代码。后续版本(4.2.3、4.2.4)在 TypeScript 中添加了后门程序,这表明攻击者的策略在不断演变,他们试图避免被检测到,并且从手动插入代码转变为使用编译后的后门程序。
这个问题已在 4.2.5 版本和 2.14.3 版本中得到修复。
强烈敦促 xrpl.js 库的用户更新到 4.2.5 版本或 2.14.3 版本,以降低近期供应链攻击带来的风险。
该公司提供了受攻击的指标,以检查用户的系统是否可能受到了该库恶意版本的影响。
发表评论
您还未登录,请先登录。
登录