Kryptoměnová knihovna Ripple pro JavaScript s názvem xrpl.js byla kompromitována neznámými útočníky v rámci útoku na softwarový dodavatelský řetězec, jehož cílem bylo získat a odeslat soukromé klíče uživatelů.
Škodlivá aktivita byla zjištěna u pěti různých verzí balíčku: 4.2.1, 4.2.2, 4.2.3, 4.2.4 a 2.14.2. Problém byl opraven ve verzích 4.2.5 a 2.14.3.
xrpl.js je populární JavaScriptové API pro interakci s blockchainem XRP Ledger, známým také jako Ripple Protocol, což je kryptoměnová platforma spuštěná společností Ripple Labs v roce 2012. Balíček byl dosud stažen více než 2,9 milionkrát a má přes 135 000 stažení týdně.
„Oficiální balíček XPRL (Ripple) na NPM byl kompromitován sofistikovanými útočníky, kteří do něj vložili zadní vrátka pro krádež kryptoměnových privátních klíčů a získání přístupu ke kryptoměnovým peněženkám,“ uvedl Charlie Eriksen ze společnosti Aikido Security.
Bylo zjištěno, že škodlivé změny v kódu byly zavedeny uživatelem s přezdívkou „mukulljangid“ od 21. dubna 2025, přičemž útočníci přidali novou funkci s názvem checkValidityOfSeed, která byla navržena tak, aby odesílala odcizené informace na externí doménu („0x9c[.]xyz“).
Za zmínku stojí, že „mukulljangid“ pravděpodobně patří zaměstnanci Ripple, což naznačuje, že jeho účet na npm byl napaden, aby mohl být útok na dodavatelský řetězec proveden.
Útočník se údajně pokusil o různé způsoby, jak zadní vrátka do balíčku propašovat a zároveň se vyhnout detekci, což dokládají různé verze vydané v krátkém časovém období. Neexistují důkazy o tom, že by související repozitář na GitHubu byl napaden.
Není jasné, kdo za útokem stojí, ale podle společnosti Aikido se předpokládá, že útočníci získali vývojářův přístupový token k npm a tím mohli knihovnu upravit.
Zdroj: The Hacker News
