npm-бібліотека xrpl.js, офіційний інструмент взаємодії з блокчейном Ripple, зазнала серйозної supply-chain атаки — зловмисники впровадили у код бекдор з метою викрадення приватних ключів криптогаманців.
Експерти з Aikido Security встановили, що в npm-пакет xrpl.js було інтегровано шкідливу функцію checkValidityOfSeed, що пересилала ключі користувачів на зовнішній домен. Атака вразила версії 4.2.1 – 4.2.4 та 2.14.2. Безпечними вважаються лише версії 4.2.5 та 2.14.3.
Імовірно, обліковий запис Ripple-розробника під ім’ям “mukulljangid” було зламано — саме з нього були опубліковані заражені оновлення. Зловмисники активно змінювали бекдор у кількох релізах, намагаючись уникнути виявлення.
Не зважаючи на те, що GitHub-репозиторій Ripple залишився незачепленим, збитки вже завдано: бібліотека xrpl.js налічує більше 2.9 мільйонів завантажень, а щотижня її використовують понад 135 тисяч розробників у всьому світі. Ripple Labs запустила XRP Ledger у 2012 році. З того часу бібліотека xrpl.js стала фактичним стандартом для роботи з мережею, яку використовують як великі біржі, так і незалежні розробники DeFi-проєктів.
Supply-chain атаки на npm-пакети стають дедалі поширенішими. Вони спрямовані на підрив довіри до open-source-екосистеми, використовуючи слабкі місця в облікових записах розробників та можливість швидко поширювати шкідливий код серед десятків тисяч застосунків.
Цей випадок – нагадування для розробників і криптоспільноти про вразливість ланцюжка поставок ПЗ. Командам проєктів, які використовують xrpl.js, слід терміново оновитися до захищених версій та ретельно перевірити всі інстанції бібліотеки. Крім того, необхідно застосувати багатофакторну аутентифікацію для npm-акаунтів та регулярно здійснювати перегляд історії комітів.
84 
73 