XRP官方Ledger NPM软件包中发现后门

XRP Ledger SDK 遭受供应链攻击：恶意 NPM 版本窃取私钥；敦促xrpl用户立即将软件包更新至 4.2.5 或 2.14.3。

Aikido 英特尔威胁检测系统发现了一个针对XRP 账本用户的严重安全漏洞。

Aikido 的研究表明，这是一次复杂的供应链攻击，攻击者入侵了官方的xrpl节点包管理器 (NPM) 软件包，该软件包是与 XRP 账本交互广泛使用的软件开发工具包 (SDK)。

此次恶意渗透导致攻击者植入后门，窃取用户私钥，从而完全控制用户的加密货币钱包。4月21日20:53（格林尼治标准时间+0），NPMxrpl上新发布的五个软件包版本（每周下载量超过14万次）包含与GitHub官方版本不一致的恶意代码，引发了人们的怀疑。

被入侵的版本号分别为 4.2.4、4.2.3、4.2.2、4.2.1 和 2.14.2，而攻击发生时 GitHub 上最新的合法版本号为 4.2.0。这种差异引发了人们的担忧。

Aikido 的恶意软件研究员 Charlie Eriksen 在博客文章中透露：“这些软件包在 GitHub 上没有对应的版本，这一事实非常可疑。”

进一步调查发现，恶意软件包 4.2.4 版本（标记为最新版本）的 src/index.ts 文件中存在异常代码，其中包含一个看似无害的函数，名为checkValidityOfSeed，但却导致向一个陌生域名发出 HTTP POST 请求0x9cxyz。该域名的注册信息分析表明它是新创建的，这引发了人们对其合法性的担忧。

深入挖掘后，研究人员发现 checkValidityOfSeed 在关键函数中被调用。这使得恶意代码能够在使用受感染xrpl包的应用程序中实例化 Wallet 对象时执行，并尝试将用户的私钥（访问和管理用户 XRP 资金所需）发送到攻击者的服务器。

这使得后门可以在“Wallet 对象实例化后”窃取私钥。

研究人员还注意到，攻击者的攻击方法不断演变。初始恶意版本（4.2.1 和 4.2.2）与后续受感染版本相比，表现出不同的修改方式。

早期版本将恶意代码引入构建的 JavaScript 文件中，从 package.json 文件中删除了脚本和Prettier 配置（用于控制 Prettier 代码格式化程序如何自动格式化代码的设置和规则）。

4.2.3 和 4.2.4 版本将恶意代码直接集成到 TypeScript 源代码中，这表明攻击者为了避免被发现，改进了攻击方法。

此次供应链攻击事件曝光后，xrpl官方已发布两个新的安全版本：4.2.5 和 2.14.3。强烈建议用户立即更新至这两个安全版本，以降低潜在风险。

研究人员还强调，“任何由该代码处理的种子或私钥都已被泄露”，因此应被视为不可用。与其相关的任何加密货币资产都应立即转移到一个带有新生成私钥的安全新钱包中。

技术报告：

https://www.aikido.dev/blog/xrp-supplychain-attack-official-npm-package-infected-with-crypto-stealing-backdoor

新闻链接：

https://hackread.com/backdoor-found-in-official-xrp-ledger-npm-package/

讲述普通人能听懂的安全故事