Muitas versões do pacote NPM oficial do Ripple Ledger (XRPL) são comprometidas com malware injetado para roubar criptomoedas.
O pacote NPM, XRPL, é uma biblioteca JavaScript/TypeScript que os desenvolvedores usam para interagir e criar aplicativos usando os recursos do Ledger de criptomoedas. Isso inclui carteira e gerenciamento de chaves, canais de pagamento, troca descentralizada, custódia e assim por diante.
O XRPL recebe muito interesse dos desenvolvedores; Os downloads semanais atingem uma alta de mais de 186.000 em abril, que oferece uma indicação de quantas pessoas podem ser afetadas pelo recente compromisso na ausência de um número confirmado.
Descoberto pela primeira vez pela loja de segurança Aikido, o ataque “sofisticado” foi realizado na noite de segunda -feira e envolveu a instalação de backdoors em cinco versões do XRPL. Eles foram projetados para roubar as chaves privadas dos usuários e, finalmente, obter acesso a suas carteiras e fundos.
As versões afetadas são 4.2.1, 4.2.2, 4.2.3 e 4.2.4, bem como 2.14.2. O XRPL disse que este último é menos provável de ser explorado, pois não é compatível com outras versões 2.x, mas todos os usuários dessas versões devem assumir que estão comprometidos e giram suas chaves privadas o mais rápido possível.
“Para garantir fundos, pense cuidadosamente sobre se alguma chaves pode ter sido comprometida por esse ataque da cadeia de suprimentos e mitigar enviando fundos para carteiras seguras e/ou chaves rotativas”, disse em um consultivo.
O XRPL também disse que, se a chave mestre de uma conta estiver potencialmente comprometida, ela deverá ser desativada.
A vulnerabilidade foi atribuída um CVE crítico (CVE-2025-329659.3), embora isso não explique sua natureza exata, apenas que existe e está conectada ao XRPL ataque da cadeia de suprimentos.
Os pesquisadores que descobriram que as versões maliciosas foram alertadas pela primeira vez para o uso indevido em potencial depois de ver as cinco novas versões que aparecem no NPM, mas não no XRPL’s Github página.
Cavando um pouco mais, eles encontraram um novo código que chamava um domínio de aparência desonesta, que acabou sendo criada em janeiro.
Charlie Eriksen, pesquisador de malware da Aikido, disse: “Então isso não é ótimo. É um novo domínio. Muito suspeito.”
Eriksen então encontrou o código, que define um novo método, sendo chamado por várias funções para roubar chaves privadas. A análise das diferentes versões que o (s) invasor (s) liberou mostrou sinais de experimentação com diferentes maneiras de roubar chaves enquanto permanecem não detectadas.
Direcionamento Npm é um método cada vez mais popular de lançar ataques da cadeia de suprimentos para criminosos cibernéticos, principalmente por causa de quão fácil é fazer. A natureza de código aberto da plataforma e a baixa barreira à entrada o tornam um alvo principal para os atacantes que desejam comprometer muitos indivíduos de uma só vez.
Sabe-se que os atacantes patrocinados pelo Estado norte-coreanos são direcionados à NPM, com Campanhas destinadas a desenvolvedores de criptografia e Web3 visto em fevereiro recentemente.
Pesquisadores de segurança de segurança disseram que direcionar o NPM estava se tornando uma marca registrada do troca de Lazarus. A missão abrangente do grupo é gerar fundos para apoiar o programa de armas da Coréia do Norte, de acordo com a Western Intelligence.
Ryan Sherstobitoff, vice -presidente sênior de pesquisa e inteligência de ameaças no SecurityScorecard, disse O registro No início deste ano:
“É imperativo que organizações e desenvolvedores adotem medidas proativas de segurança, monitorem continuamente as atividades da cadeia de suprimentos e integram soluções avançadas de inteligência de ameaças para mitigar o risco de ataques sofisticados baseados em implantes orquestrados por atores de ameaças como o grupo Lazarus”. ®
