La bibliothèque JavaScript NPM de crypto-monnaie Ripple recommandée nommée » xrpl.js » a été compromis pour voler des graines de portefeuille XRP et des clés privées et les transférer sur un serveur contrôlé par un attaquant, permettant aux acteurs de la menace de voler tous les fonds stockés dans les portefeuilles.
Un code malveillant a été ajouté aux versions 2.14.2, 4.2.1, 4.2.2, 4.2.3 et 4.2.4 du package xrpl NPM et publié dans le registre NPM hier entre 16h46 et 17h49 HE. Ces versions compromises ont depuis été supprimées et une version 4.2.5 propre est maintenant disponible et tous les utilisateurs doivent la mettre à niveau immédiatement.
Le XRPL.la bibliothèque js est gérée par la Fondation XRP Ledger (XRPLF) et est la bibliothèque recommandée par Ripple pour interagir avec la blockchain XRP via JavaScript. Il permet les opérations de portefeuille, les transferts XRP et d’autres fonctionnalités du grand livre. En raison du fait qu’il s’agit de la bibliothèque recommandée pour interagir avec la blockchain XRP, elle a été largement adoptée, avec plus de 140 000 téléchargements au cours de la semaine écoulée.
La bibliothèque NPM a été modifiée avec une méthode suspecte nommée checkValidityOfSeed ajoutée à la fin de » / src / index.fichier » ts » dans les versions compromises.
Cette fonction accepte une chaîne comme argument, qui est ensuite transmise via des requêtes HTTP POST à https://0x9c [.]xyz / xcm, où les acteurs de la menace peuvent les collecter. Le code a tenté d’être furtif en utilisant un agent utilisateur « publicitaire » pour le faire ressembler à une demande publicitaire adressée aux systèmes de surveillance du trafic réseau.
Selon la société de sécurité développeur Aikido, la fonction de vérification de la validité de Seed () est appelée dans diverses fonctions où elle est utilisée pour voler les graines, les clés privées et les mnémoniques du portefeuille XRP.
Les auteurs de menaces peuvent utiliser ces informations pour importer un portefeuille XRP volé sur leurs propres appareils afin de drainer les fonds qu’il contient.
Breachtrace a déterminé que les versions compromises ont été téléchargées à des moments différents et ont eu un total de téléchargements 452:
- 4.2.1: Lundi 21 avril 2025 16: 46: 24.710 PM ET-57 téléchargements
- 4.2.2: Lundi 21 avril 2025 16: 55: 55.822 PM ET-106 téléchargements
- 4.2.3: Lundi 21 avril 2025 17:32: 24.445 PM ET-69 téléchargements
- 2.14.2: Lundi 21 avril 2025 17: 37: 09.418 PM ET-41 téléchargements
- 4.2.4: Lundi 21 avril 2025 17: 49: 35.179 PM ET-179 téléchargements
Bien que le nombre total de téléchargements ne soit pas important, cette bibliothèque a probablement été utilisée pour gérer et s’interfacer avec un nombre beaucoup plus important de portefeuilles XRP.
Le code malveillant semble avoir été ajouté par un compte de développeur associé à l’organisation Ripple, probablement par le biais d’informations d’identification compromises.
Les validations malveillantes n’apparaissent pas dans le référentiel public GitHub, ce qui indique que l’attaque a peut-être eu lieu pendant le processus de publication de NPM.
« Si vous utilisez l’une de ces versions, arrêtez immédiatement et faites pivoter toutes les clés privées ou secrets utilisés avec les systèmes concernés. Le registre XRP prend en charge la rotation des clés: https://xrpl.org/docs/tutorials/how-tos/manage-account-settings/assign-a-regular-key-pair. »
« Si la clé principale d’un compte est potentiellement compromise, vous devez la désactiver: https://xrpl.org/docs/tutorials/how-tos/manage-account-settings/disable-master-key-pair. »
Cette attaque de la chaîne d’approvisionnement est similaire aux compromissions précédentes des MNP Ethereum et Solana utilisées pour voler des graines de portefeuille et des clés privées.