知名Ripple币JavaScript库xrpl.js遭供应链攻击入侵

威胁攻击者入侵了瑞波币（Ripple）官方npm JavaScript库xrpl.js，企图窃取用户私钥。该库是连接JavaScript/TypeScript应用与XRP账本的推荐开发工具，周下载量超14万次，迄今累计下载量突破290万次，被数十万应用程序和网站所使用。

4月21日，Aikido Intel安全团队检测到xrpl官方npm软件包遭供应链攻击，被植入后门程序。"4月21日20:53（格林尼治标准时间），我们的监测系统开始对xrpl包的五个新版本发出警报。"Aikido在报告中指出，"经紧急确认，这个每周下载量超14万次的XRP账本官方SDK遭高级攻击者入侵，后门程序旨在窃取加密货币私钥并控制数字钱包。"

调查显示，4.2.1至4.2.4及2.14.2共五个版本被植入恶意代码。用户"mukulljangid"从4月21日20:53起陆续发布了这些受污染的版本。研究人员在代码中发现名为"checkValidityOfSeed"的恶意函数，该函数将窃取的数据外泄至域名"0x9c.xyz"。

目前尚不明确此次攻击的幕后黑手，但安全专家指出，攻击者通过多次版本更新逐步完善攻击手段：4.2.1版本移除了关键配置；4.2.2版本植入恶意JavaScript代码；后续4.2.3和4.2.4版本则在TypeScript中嵌入后门——这表明攻击者正持续升级规避检测的技术，从手动插入代码转向编译型后门。

该漏洞已在4.2.5和2.14.3版本中得到修复。我们强烈建议xrpl.js库的用户立即升级至这两个安全版本，以防范近期供应链攻击带来的风险。

官方已提供入侵指标(IoC)，用户可据此检测系统是否受到恶意版本的影响。

原文始发于微信公众号（黑猫安全）：知名Ripple币JavaScript库xrpl.js遭供应链攻击入侵