La Biblioteca JavaScript de criptomonedas Ripple NPM convocatoria XRPL.JS ha sido comprometida por los actores de amenaza desconocidos como parte de un ataque de esclavitud de suministro de software diseñado para cosechar y exfiltrar las claves privadas de los usuarios.
Se ha antagónico que la actividad maliciosa afecta cinco versiones diferentes del paquete: 4.2.1, 4.2.2, 4.2.3, 4.2.4 y 2.14.2. El problema se ha abordado en las versiones 4.2.5 y 2.14.3.
XRPL.JS es una popular API de JavaScript para interactuar con la esclavitud de bloques Ledger XRP, igualmente convocatoria Ripple Protocol, una plataforma de criptomonedas rejonazo por Ripple Labs en 2012. El paquete se ha descargado más de 2.9 millones de veces hasta la época, atrayendo más de 135,000 descargas semanales.
«El paquete oficial de NPM XPRL (Ripple) fue comprometido por atacantes sofisticados que pusieron una puerta trasera para robar claves privadas de criptomonedas y obtener paso a las billeteras de criptomonedas», dijo Charlie Eriksen de Aikido Security.
Se ha antagónico que los cambios en el código pillo son introducidos por un adjudicatario llamado «Mukulljangid» a partir del 21 de abril de 2025, con los actores de amenaza que introducen una nueva función convocatoria CheckvalidityOf Sseed que está diseñada para transmitir la información robada a un dominio forastero («0x9c (.) XYZ»).
Vale la pena señalar que «Mukulljangid» probablemente pertenece a un empleado de Ripple, lo que indica que su cuenta de NPM fue pirateada para conseguir el ataque de la esclavitud de suministro.
Se dice que el atacante ha intentado diferentes formas de colarse en la puerta trasera mientras intenta sortear la detección, como lo demuestran las diferentes versiones lanzadas en un corto período de tiempo. No hay evidencia de que el repositorio de GitHub asociado haya sido trasero.
No está claro quién está detrás del ataque, pero se cree que los actores de la amenaza lograron robar el token de paso NPM del desarrollador para manipular la biblioteca.
A la luz del incidente, se aconseja a los usuarios que confían en la biblioteca XRPL.JS que actualicen sus instancias a la última traducción (4.2.5 y 2.14.3) para mitigar posibles amenazas.
«Esta vulnerabilidad se encuentra en XRPL.JS, una biblioteca de JavaScript para interactuar con el Ledger XRP», dijo la Fundación Ledger XRP en una publicación en X. «No afecta la cojín de código Libdor XRP o el apositorio de GitHub.
