Krypto-Stealing-Hintertür im offiziellen XRP Ledger NPM-Paket gefunden

• Das offizielle NPM-Paket von XRP Ledger wurde mit einer Krypto-Stealing-Hintertür versehen.
• Die betroffenen NPM-Versionen sind 4.2.1 bis 4.2.4 und 2.14.2.
• Benutzer müssen ein Upgrade auf gepatchte Versionen durchführen und private Schlüssel rotieren.

Ein Supply-Chain-Angriff kompromittierte das offizielle XRP Ledger JavaScript SDK und injizierte eine Hintertür in bestimmte Versionen von NPM. Eine Hintertür in bestimmten NPM-Versionen zielte auf den Diebstahl privater Schlüssel ab und gefährdete damit verbundene XRP-Wallets.

SlowMist gab eine Warnung mit hoher Priorität aus, in der sofortige Aktualisierungen und die Rotation von Anmeldeinformationen gefordert wurden.

Wie bösartiger Code NPM trifft

Der Angriff konzentrierte sich auf das xrpl NPM-Paket, das von Entwicklern verwendet wird, um mit der XRP Ledger-Blockchain zu interagieren. Zwischen dem 21. April um 20:53 Uhr GMT+0 und dem 22. April wurden die bösartigen Versionen 4.2.1 bis 4.2.4 und 2.14.2 unter einem legitimen Paketnamen auf NPM veröffentlicht.

Verbunden: XRP Ledger Foundation reagiert schnell auf XRPL.js Fehler; Bedrohung neutralisiert

Ein nicht autorisierter Benutzer, „mukulljangid“, hat diese Versionen jedoch erstellt. Diese Versionen enthielten Code, der private Schlüssel von Krypto-Wallets stehlen konnte.

Im Gegensatz zu Standard-Updates wurden diese Versionen nicht im offiziellen GitHub-Repository gespiegelt, was in der Sicherheits-Community zu Warnsignalen führte. Aikido, eine Plattform zur Überwachung der Software-Lieferkette, identifizierte zuerst die verdächtigen Aktivitäten und veröffentlichte ihre Ergebnisse am 21. April.

Wie die Hintertür funktionierte

Die Hintertür funktionierte, indem sie eine Remote-Funktion einführte, die mit einer verdächtigen Domäne verbunden war: 0x9c[.]Xyz. Sobald es aktiv ist, kann es sensible Daten, einschließlich privater Schlüssel, extrahieren und extern senden. Der Code umging herkömmliche Sicherheitsüberprüfungen, indem er sich in vertrauenswürdigen Softwarebibliotheken versteckte und so eine Vielzahl von Anwendungen und Benutzern Risiken aussetzte.

Die betroffenen Versionen waren bereits vor der Entdeckung tausende Male heruntergeladen worden. Angesichts der Tatsache, dass das Paket wöchentlich über 140.000 Downloads verzeichnet, könnte sich der Verstoß auf zahlreiche kryptofokussierte Anwendungen ausgewirkt haben.

Beheben Sie Probleme, dringende Maßnahmen werden empfohlen

Das Entwicklungsteam von XRP Ledger reagierte, indem es die bösartigen Versionen entfernte und die gepatchten Versionen 4.2.5 und 2.14.3 veröffentlichte.

Aikido forderte die Entwickler auf, sofort Maßnahmen zu ergreifen, um ihre Systeme und Benutzerdaten zu schützen. Zunächst sollten sie auf die gepatchten Versionen des XRP Ledger-Pakets aktualisieren, die den bösartigen Code entfernt haben.

Es ist wichtig, die Installation oder Verwendung kompromittierter Versionen zu vermeiden, da sie Hintertüren enthalten, die vertrauliche Informationen stehlen können.

In diesem Zusammenhang: Ripple wettet 1,25 Mrd. $, dass XRPL das TradFi-Volumen über Hidden Road bewältigen kann

Darüber hinaus sollten Entwickler alle privaten Schlüssel oder Geheimnisse rotieren, die während des Zeitraums, in dem diese Versionen verwendet wurden, möglicherweise offengelegt wurden. Schließlich sollten die Systeme sorgfältig auf verdächtigen ausgehenden Datenverkehr überwacht werden, insbesondere auf Verbindungen zur Domäne 0x9c[.]XYZ, das mit der bösartigen Aktivität in Verbindung gebracht wurde.

SlowMist betonte, dass Entwickler, die frühere Versionen (vor 4.2.1 oder vor 2.14.2) verwenden, nicht direkt auf die infizierten Versionen aktualisieren sollten. Stattdessen sollten sie direkt zu den sauberen Versionen springen.