Une porte dérobée de vol de crypto-monnaies trouvée dans le package officiel XRP Ledger NPM

• Le package NPM officiel de XRP Ledger a été injecté avec une porte dérobée de vol de cryptomonnaies.
• Les versions de NPM concernées sont les versions 4.2.1 à 4.2.4 et 2.14.2.
• Les utilisateurs doivent passer à des versions corrigées et effectuer une rotation des clés privées.

Une attaque de la chaîne d’approvisionnement a compromis le SDK JavaScript officiel de XRP Ledger, en injectant une porte dérobée dans des versions spécifiques de NPM. Une porte dérobée dans des versions spécifiques de NPM ciblait le vol de clés privées, mettant en danger les portefeuilles XRP connectés.

SlowMist a émis une alerte hautement prioritaire exhortant à des mises à jour immédiates et à la rotation des informations d’identification.

Comment le code malveillant a frappé NPM

L’attaque s’est concentrée sur le package xrpl NPM, utilisé par les développeurs pour interagir avec la blockchain XRP Ledger. Entre le 21 avril à 20h53 GMT+0 et le 22 avril, les versions malveillantes 4.2.1 à 4.2.4 et 2.14.2 ont été publiées sur NPM sous un nom de paquet légitime.

À lire également : La XRP Ledger Foundation agit rapidement sur XRPL.js bug ; Menace neutralisée

Cependant, un utilisateur non autorisé, « mukulljangid » a créé ces versions. Ces versions comprenaient un code capable de voler des clés privées dans les portefeuilles de crypto-monnaies.

Contrairement aux mises à jour standard, ces versions n’ont pas été reflétées sur le référentiel officiel de GitHub, ce qui a suscité des signaux d’alarme au sein de la communauté de la sécurité. Aikido, une plateforme de surveillance de la chaîne d’approvisionnement logicielle, a été la première à identifier l’activité suspecte et a publié ses conclusions le 21 avril.

Comment fonctionnait la porte dérobée

La porte dérobée fonctionnait en introduisant une fonction à distance qui se connectait à un domaine suspect : 0x9c[.]Xyz. Une fois actif, il peut extraire des données sensibles, y compris des clés privées, et les envoyer en externe. Le code contournait les contrôles de sécurité traditionnels en se cachant dans des bibliothèques de logiciels de confiance, exposant ainsi un large éventail d’applications et d’utilisateurs à des risques.

Les versions concernées avaient déjà été téléchargées des milliers de fois avant d’être découvertes. Étant donné que le paquet est téléchargé plus de 140 000 fois par semaine, la violation aurait pu affecter de nombreuses applications axées sur les cryptomonnaies.

Correctif émis, actions urgentes conseillées

L’équipe de développement de XRP Ledger a réagi en supprimant les versions malveillantes et en publiant les versions corrigées : 4.2.5 et 2.14.3.

Aikido a exhorté les développeurs à prendre des mesures immédiates pour protéger leurs systèmes et les données des utilisateurs. Tout d’abord, ils doivent passer aux versions corrigées du package XRP Ledger, qui ont supprimé le code malveillant.

Il est essentiel d’éviter d’installer ou d’utiliser des versions compromises, car elles contiennent des portes dérobées capables de voler des informations sensibles.

À lire également : Ripple parie 1,25 milliard de dollars que XRPL peut gérer le volume TradFi via Hidden Road

En outre, les développeurs doivent effectuer une rotation de toutes les clés privées ou de tous les secrets qui ont pu être exposés pendant la période d’utilisation de ces versions. Enfin, les systèmes doivent être soigneusement surveillés pour détecter tout trafic sortant suspect, en particulier les connexions au domaine 0x9c[.]xyz, qui a été lié à l’activité malveillante.

SlowMist a insisté sur le fait que les développeurs utilisant des versions antérieures (antérieures à 4.2.1 ou antérieures à 2.14.2) ne devraient pas effectuer de mise à niveau directement vers les versions infectées. Au lieu de cela, ils devraient passer directement aux versions propres.