近期，Ripple推薦加密貨幣NPM JavaScript庫名為“xrpl.js”，被入侵竊取Ripple錢包種子和私鑰，并將其轉(zhuǎn)移到攻擊者控制的服務(wù)器上，允許威脅者竊取存儲在錢包中的所有資金。

惡意代碼被添加到xrpl NPM包的2.14.2、4.2.1、4.2.2、4.2.3和4.2.4版本中，并于下午時間4:46到5:49之間發(fā)布到NPM注冊表中。這些被破壞的版本已經(jīng)被刪除，現(xiàn)在有一個干凈的4.2.5版本，所有用戶都應(yīng)該立即升級到這個版本。

xrpl.js庫由Ripple幣賬本基金會（XRPLF）維護，是Ripple幣通過JavaScript與Ripple幣區(qū)塊鏈交互的推薦庫。它支持錢包操作、XRP轉(zhuǎn)賬和其他分類賬功能。由于它是與XRP區(qū)塊鏈交互的推薦庫，它已經(jīng)被廣泛采用，在過去的一周內(nèi)下載量超過14萬次。

NPM庫通過可疑方法進行了修改，名為CheckValitysofdeed將附加到折衷版本中的“

/src/index.ts

”文件的末尾進行了修改。此功能接受字符串作為參數(shù)，然后通過http Post請求轉(zhuǎn)發(fā)給https：// 0x9c [。] xyz/xcm，威脅者可以在其中收集它。該代碼試圖通過使用“ AD-REFFERAL”用戶代理使其看起來像網(wǎng)絡(luò)流量監(jiān)視系統(tǒng)的廣告請求，從而試圖變得隱秘。

惡意代碼插入到xrpl.js NPM庫中

根據(jù)開發(fā)安全公司Aikido的說法，checkValidityOfSeed（）函數(shù)在各種函數(shù)中被調(diào)用，用于竊取XRP錢包的種子、私鑰和助記符。

通過checkValidityOfSeed函數(shù)竊取數(shù)據(jù)

威脅者可以利用這些信息在自己的設(shè)備上導(dǎo)入被盜的XRP錢包，以提取其中的任何資金。目前已經(jīng)確定，受感染的版本是在不同時間上傳的，總共有452次下載。雖然總下載量并不大，但這個庫可能被用來管理和連接更多的XRP錢包。

惡意代碼似乎是由與Ripple組織相關(guān)的開發(fā)人員帳戶添加的，可能是通過受損的憑證添加的。惡意提交沒有出現(xiàn)在公共GitHub存儲庫中，這表明攻擊可能發(fā)生在NPM發(fā)布過程中。

如果用戶使用其中一個版本，請立即停止并旋轉(zhuǎn)與受影響系統(tǒng)的任何私鑰或秘密。XRP Ledger支持鑰匙旋轉(zhuǎn)：https：//xrpl.org/docs/tutorials/how-tos/how-tos/manage-manage-acccount-account-settings/assign-a-a-a-regular-regular-key-pair-，如果任何帳戶的主密鑰可能被妥協(xié)，則應(yīng)將其禁用：https：//xrpl.org/docs/tutorials/how-tos/manage-manage-account-settings/disable-master-key-pair。”

開發(fā)人員稱，XRP賬本代碼庫或GitHub存儲庫沒有受到影響。“澄清一下：這個漏洞存在于xrpl.js中，這是一個用于與XRP賬本交互的JavaScript庫。它不會影響XRP賬本代碼庫或Github存儲庫本身。使用xrpl.js的項目應(yīng)該立即升級到v4.2.5，”XRP賬本基金會在X上發(fā)布。

開發(fā)商還證實，Xaman錢包、XRPScan、First Ledger和Gen3 Games項目沒有受到供應(yīng)鏈攻擊的影響。這種供應(yīng)鏈攻擊類似于之前以太坊和索拉納npm用于竊取錢包種子和私鑰的攻擊。

參考及來源：https://www.bleepingcomputer.com/news/security/ripples-recommended-xrp-library-xrpljs-hacked-to-steal-wallets/