【供应链攻击】官方 XRP Ledger NPM 包中发现后门

XRP Ledger SDK 遭受供应链攻击：恶意 NPM 版本窃取了私钥；强烈建议用户立即将 xrpl 包更新到 4.2.5 或 2.14.3。

Aikido Intel 威胁检测系统发现了一起针对 XRP Ledger 用户的严重安全漏洞。Aikido 的研究表明，这是一起复杂的供应链攻击，它破坏了官方 xrpl Node Package Manager (NPM) 包，这是一个广泛使用的用于与 XRP Ledger 交互的软件开发工具包 (SDK)。

这种恶意渗透导致引入了一个后门，旨在窃取用户的私钥，从而使攻击者完全控制他们的加密货币钱包。格林威治标准时间 4 月 21 日 20:53，当 NPM 上五个新发布的 xrpl 包版本（每周下载量超过 140,000 次）包含与 GitHub 上的官方版本不符的恶意代码时，引起了怀疑。

受损版本为 4.2.4、4.2.3、4.2.2、4.2.1 和 2.14.2，而攻击时 GitHub 上的最新合法版本为 4.2.0。这种差异引起了担忧。

“这些软件包没有在 GitHub 上发布匹配的版本，这一事实非常可疑，”Aikido 的恶意软件研究员 Charlie Eriksen 在与 Hackread.com 独家分享的博文中透露。

进一步探查发现在流氓软件包（标记为最新版本）的 4.2.4 版本的 src/index.ts 文件中存在异常代码，该代码有一个名为 checkValidityOfSeed 的看似无害的函数，但它导致了对一个陌生域 0x9cxyz 的 HTTP POST 请求。该域名的注册信息分析表明它是新创建的，引发了对其合法性的担忧。

来源：Aikido

深入研究后，研究人员发现 checkValidityOfSeed 在关键函数中被调用，包括 src/Wallet/index.ts 中 Wallet 类的构造函数。这使得恶意代码在应用程序中使用受损的 xrpl 包实例化 Wallet 对象时执行，试图将用户的私钥（用于访问和管理用户的 XRP 资金）发送到攻击者的服务器。

这使得后门程序“一旦实例化 Wallet 对象”就能窃取私钥。

研究人员还指出，攻击者的手法不断演变。最初的恶意版本（4.2.1 和 4.2.2）与后来的受感染版本相比，显示出不同的修改。第一个版本将恶意代码引入到构建的 JavaScript 文件中，从 package.json 文件中删除了脚本和 prettier 配置（控制 Prettier 代码格式化程序如何自动格式化代码的设置和规则）。版本 4.2.3 和 4.2.4 将恶意代码直接集成到 TypeScript 源代码中，表明他们在保持未被发现的方法上有所改进。

在披露这次供应链攻击后，官方 xrpl 团队发布了该软件包的两个新的、干净的版本：4.2.5 和 2.14.3。强烈建议用户立即更新到这些安全版本，以减轻任何潜在风险。

研究人员还强调，“任何被该代码处理过的种子或私钥都已泄露”，因此应被视为不可用。任何与它们相关的加密货币资产都应立即转移到一个新的、安全的钱包中，并使用新生成的私钥。

官方详细博客文章介绍：https://www.aikido.dev/blog/xrp-supplychain-attack-official-npm-package-infected-with-crypto-stealing-backdoor