推奨されている Ripple 暗号通貨 NPM JavaScript ライブラリである “xrpl.js” が侵害され、XRP ウォレットのシードと秘密鍵を盗み出し、攻撃者が管理するサーバに転送することで、脅威行為者はウォレットに保管されているすべての資金を盗み出すことができました。
悪意のあるコードは、xrpl NPMパッケージのバージョン2.14.2、4.2.1、4.2.2、4.2.3、4.2.4に追加され、昨日の午後4時46分から午後5時49分(米国東部時間)の間にNPMレジストリに公開されました。これらの危険なバージョンはその後削除され、クリーンな4.2.5リリースが利用可能になりました。
xrpl.jsライブラリはXRP Ledger Foundation (XRPLF)によって管理されており、JavaScriptを介してXRPブロックチェーンとやりとりするためのリップル社推奨のライブラリです。これは、ウォレット操作、XRP送金、その他の台帳機能を可能にします。XRPブロックチェーンとやり取りするための推奨ライブラリであるため、この1週間で14万以上のダウンロードがあり、広く採用されています。
NPMライブラリは、侵害されたバージョンの"/src/index.ts“ファイルの末尾に、checkValidityOfSeedという名前の疑わしいメソッドが追加された状態で修正されていた。
この関数は引数として文字列を受け取り、その文字列はHTTP POSTリクエストを経由してhttps://0x9c[.]xyz/xcmに転送され、そこで脅威行為者はその文字列を収集することができる。このコードは、「ad-refferal」ユーザーエージェントを使用することで、ネットワーク・トラフィック・モニタリング・システムに対する広告リクエストのように見せかけ、ステルス化を試みている。
Source :
開発者のセキュリティ会社Aikidoによると、checkValidityOfSeed()関数は様々な関数で呼び出され、XRPウォレットのシード、秘密鍵、ニーモニックを盗むために使用されている。
ソースはこちら:Akido
脅威行為者はこの情報を使って、盗んだXRPウォレットを自分のデバイスにインポートし、その中の資金を流出させることができます。
は、侵害されたバージョンが異なる時期にアップロードされ、合計452回ダウンロードされたことを突き止めた:
- 4.2.1: 4.2.1:2025年4月21日月曜日 4時46分24秒710(米国東部時間) – 57件のダウンロード
- 4.2.2:4.2.2:2025年4月21日月曜日 4時55分55秒822(米国東部時間)- 106件のダウンロード
- 4.2.3:2025年4月21日月曜日 5時32分24秒445(米国東部時間) – 69 ダウンロード
- 2.14.2:2025 年 4 月 21 日 月曜日 5:37:09.418 PM ET – 41 ダウンロード
- 4.2.4:2025年4月21日月曜日 5時49分35秒179(米国東部時間) – 179件のダウンロード
総ダウンロード数はそれほど多くはありませんが、このライブラリは遥かに多くのXRPウォレットの管理とインターフェースに使用されていたようです。
この悪意のあるコードは、リップル社に関連する開発者アカウントによって、おそらく侵害された認証情報を通じて追加されたようです。
悪意のあるコミットは GitHub の公開リポジトリには表示されておらず、この攻撃は NPM の公開プロセス中に発生した可能性があります。
「これらのバージョンのいずれかを使用している場合、直ちに停止し、影響を受けたシステムで使用されている秘密鍵やシークレットをローテーションしてください。XRP Ledgerは鍵のローテーションをサポートしています:https://xrpl.org/docs/tutorials/how-tos/manage-account-settings/assign-a-regular-key-pair”
“アカウントのマスターキーが漏洩した可能性がある場合、それを無効にすべきです: https://xrpl.org/docs/tutorials/how-tos/manage-account-settings/disable-master-key-pair”
このサプライチェーン攻撃は、ウォレットのシードや秘密鍵を盗むために使用されたイーサリアムや ソラナNPMの以前の侵害と類似している。
The post リップル社が推奨するXRPライブラリxrpl.jsがハッキングされ、ウォレットが盗まれる first appeared on PRSOL:CC.