La société de sécurité informatique Aikodo a alerté les développeurs XRP Ledger d'une vulnérabilité dans le kit de développement logiciel (SDK) XRPL permettant aux pirates de dérober des clés privées. Aikodo, spécialisée dans la sécurité des développeurs, a précisé que cette vulnérabilité affecte les versions 4.2.1 à 4.2.4 XRPL.
Selon la société , la vulnérabilité a été initialement dent le 21 avril à 20h53 GMT+0, suite à une alerte concernant l'ajout de cinq nouveaux paquets au XRP L. Un examen plus approfondi a révélé que des acteurs malveillants avaient compromis le paquet en y intégrant une porte dérobée permettant de voler des clés privées.
Il était écrit :
« Nous avons rapidement confirmé que le package NPM officiel XPRL (Ripple) avait été compromis par des attaquants sophistiqués qui y avaient inséré une porte dérobée pour voler des clés privées de cryptomonnaies et accéder aux portefeuilles de cryptomonnaies. »
Étant donné que ce logiciel enregistre en moyenne 140 000 téléchargements hebdomadaires et qu’il est utilisé par des milliers de sites web et d’applications, cetdent aurait pu constituer une attaque désastreuse contre la chaîne d’approvisionnement de l’industrie des cryptomonnaies.
D'après le rapport, le pirate a utilisé plusieurs versions du paquet pour tenter d'effacer ses traces et de rendre la vulnérabilité invisible. Cependant, Aikido a pu ladentgrâce à son outil Aikido Intel, qui surveille les gestionnaires de paquets publics tels que NPM etdenttoute modification de code malveillante.
La Fondation XRPL reconnaît un compromis
Entre-temps, la Fondation XRP l'organisation à but non lucratif qui gère le XRP L, a reconnu l'incident dent déployé un correctif pour la vulnérabilité. La fondation a annoncé sur X avoir publié la version 4.2.5 du XRP L en remplacement des versions compromises.
Les développeurs possédant des versions compromises ont été invités à les remplacer immédiatement. La fondation a également retiré toutes les versions compromises de NPM afin d'empêcher leur téléchargement.
Il a également été conseillé aux développeurs d'utiliser la dernière version v4.2.5 ou la version beaucoup plus ancienne v2.14.3, qui n'était pas compromise, et il a été ajouté que le problème n'affecte pas la XRP L ni son dépôt GitHub.
La fondation a déclaré :
« Cette vulnérabilité se situe dans xrpl.js, une bibliothèque JavaScript permettant d'interagir avec le XRP Ledger. Elle n'affecte ni le code source XRP Ledger ni le dépôt GitHub lui-même. Les projets utilisant xrpl.js doivent être mis à jour immédiatement vers la version 4.2.5. »
À ce jour, plusieurs protocoles du réseau ont confirmé avoir été affectés par cette vulnérabilité. Xaman Wallet a indiqué utiliser une infrastructure et des bibliothèques internes pour la gestion des transactions et des clés privées, tandis que XRPScan a précisé utiliser une version antérieure de xrpl.js et ne pas traiter les clés privées.
D'autres, comme le portefeuille Bitfrost, le protocole DeFi OpulenceX, le memecoin RibbleXRPet la plateforme de jeux Web3 Gen3 Games, ont également confirmé qu'ils n'étaient pas affectés.
L'attaque de la chaîne d'approvisionnement XRPL est le dernierdent en date visant des acteurs malveillants ciblant des progiciels pour exploiter des projets liés aux cryptomonnaies.
En mars dernier, des pirates informatiques ont ciblé Coinbase lors d'une attaque sur la chaîne d'approvisionnement de GitHub Actions, en tentant de compromettre le logiciel libre AgentKit de la plateforme. Ils ont cependant échoué et Coinbase a déjoué la tentative, préférant s'attaquer à plusieurs dépôts.
Auparavant, des experts en cybersécurité avaient découvert que le tristement célèbre groupe de pirates informatiques nord-coréens Lazarus ciblait les développeurs de cryptomonnaies via les dépôts NPM et créait des portes dérobées dans leurs projets. On ignore s'ils sont impliqués dans…
