Aikido Segurança divulgou uma vulnerabilidade No JavaScript SDK, do XRP Ledger (XRPL), revelando que várias versões comprometidas do pacote de gerenciador de pacote de nó XRPL (NPM) foram publicadas no registro a partir de 21 de abril.
As versões afetadas, v4.2.1 a v4.2.4 e v2.14.2, continham um backdoor capaz de exfiltrar as chaves privadas, representando um risco severo para carteiras criptográficas que se baseavam no software.
Um pacote NPM é um módulo reutilizável para projetos JavaScript e Node.js projetados para simplificar a instalação, atualizações e remoção.
De acordo com a Aikido Security, sua plataforma automatizada de monitoramento de ameaças sinalizou a anomalia às 20:53 UTC em 21 de abril, quando o usuário da NPM “Mukulljangid” publicou cinco novas versões do pacote XRPL.
Esses lançamentos não correspondiam a nenhum lançamento marcado no repositório oficial do GitHub, provocando suspeitas imediatas de um compromisso da cadeia de suprimentos.
Código malicioso incorporado na lógica da carteira
A análise de Aikido constatou que os pacotes comprometidos continham uma função chamada CheckValidityOfSeed, que fez chamadas de saída para o domínio recém -registrado e não verificado 0x9c[.]XYZ.
A função foi acionada durante a instanciação da classe da carteira, fazendo com que as teclas privadas sejam transmitidas silenciosamente ao criar uma carteira.
Versões iniciais (v4.2.1 e v4.2.2) incorporaram o código malicioso nos arquivos JavaScript construídos. As versões subsequentes (v4.2.3 e v4.2.4) introduziram o backdoor nos arquivos de origem do TypeScript, seguidos por sua compilação no código de produção.
O atacante apareceu para iterar as técnicas de evasão, mudando de manipulação manual de JavaScript para uma integração mais profunda no processo de construção do SDK.
O relatório afirmou que este pacote é usado por centenas de milhares de aplicativos e sites, descrevendo o evento como um ataque direcionado contra a infraestrutura de desenvolvimento de criptografia.
As versões comprometidas também removeram ferramentas de desenvolvimento, como mais bonitinhas e scripts do arquivo package.json, indicando ainda mais a violação deliberada.
XRP Ledger Foundation e Response
A Fundação XRP Ledger reconhecido A edição em uma declaração pública publicada via x em 22 de abril. declarou:
“Hoje cedo, um pesquisador de segurança da @Aikidosecurity identificou uma séria vulnerabilidade no pacote XRPL NPM (v4.2.1-4.2.4 e v2.14.2). Estamos cientes do problema e estamos trabalhando ativamente em uma correção. Um post-mortem detalhado seguirá”.
Mark Ibanez, CTO da GEN3 Games, baseada em Ledger, disse que sua equipe evitou as versões comprometidas com um “pouco de sorte”.
Ele adicionado:
“Nosso package.json especificou ‘XRPL’: ‘^4.1.0’, o que significa que, em circunstâncias normais, qualquer versão menor ou de patch compatível – incluindo as potencialmente comprometidas – poderia ter sido instalada durante o desenvolvimento, construções ou implantações.”
No entanto, o Gen3 Games comete seu arquivo pnpm-lock.yaml para controle de versão. Essa prática garantiu que as versões exatas, não publicadas recentemente, foram instaladas durante o desenvolvimento e a implantação.
Ibanez enfatizou várias práticas para mitigar os riscos, como sempre comprometendo o “arquivo de bloqueio” com o controle da versão, usando o npm performante (PNPM) quando possível, e evitando o uso do símbolo careteiro (^) no package.json para impedir as atualizações da versão não intencional.
O kit de desenvolvedor de software mantido pelo Ripple e distribuído através do NPM recebe mais de 140.000 downloads por semana, com os desenvolvedores amplamente usando -o para criar aplicativos no Ledger XRP.
A fundação do Ledger XRP removeu as versões afetadas do registro do NPM logo após a divulgação. Ainda assim, permanece desconhecido quantos usuários integraram as versões comprometidas antes que o problema fosse sinalizado.
Mencionado neste artigo
source – cryptoslate.com
