ソフトウェアセキュリティ企業Aikodoは、 XRP Ledgerの開発者に対し、 XRPLソフトウェア開発キット(SDK)に存在する脆弱性について警告を発しました。この脆弱性により、ハッカーが秘密鍵を盗むことが可能となります。開発者向けセキュリティ企業であるAikodoによると、この脆弱性は XRPLバージョン4.2.1~4.2.4に存在していました。.
同社によるとこの脆弱性を初めて確認したのはdent XRP Lパッケージに5つの新しいパッケージが追加されたというアラートを受け取った後だった。詳細な調査の結果、悪意のある人物が秘密鍵を盗むためのバックドアを追加することでパッケージに侵入していたことが判明した。
それはこう言った。
「公式の XPRL (Ripple) NPM パッケージが、暗号通貨の秘密鍵を盗み、暗号通貨ウォレットにアクセスするためのバックドアを仕掛けた高度な攻撃者によって侵害されたことがすぐに確認されました。」
このパッケージは毎週平均14万回ダウンロードされ、何千ものウェブサイトやアプリケーションで使用されていることを考えると、このdent 暗号通貨業界にとって壊滅的なサプライチェーン攻撃となった可能性がある。.
報告によると、ハッカーは痕跡を隠し、脆弱性が目立たないようにするために、パッケージの複数のバージョンを使用しました。しかし、Aikidoは、NPMなどの公開パッケージマネージャーを監視し、悪意のあるコードの変更をdentAikido Intelツールによって、この脆弱性をdentことができました。.
XRPL財団は侵害を認める
一方、 XRP 運営する非営利XRP L Foundationは、dent認識し、侵害されたバージョンの代替として、XRP LパッケージXRPXRP4.2.5を公開したと発表しました
侵害されたバージョンを使用している開発者には、直ちに置き換えるよう勧告されています。また、財団はNPM上のすべての侵害されたバージョンを非推奨とし、誰もダウンロードできないようにしました。.
また、開発者は最新のv4.2.5か、侵害を受けていないかなり古いv2.14.3を使用するべきだとアドバイスし、この問題はXRP LコードベースやそのGitHubリポジトリには影響しないと付け加えた。
財団は次のように述べた。
この脆弱性は、 XRP Ledger と連携するための JavaScript ライブラリである xrpl.js に存在します。XRP Ledger XRP コードベースや GitHub リポジトリ自体には影響しません。xrpl.js を使用しているプロジェクトは、直ちにバージョン 4.2.5 にアップグレードする必要があります。
これまでのところ、ネットワーク上の複数のプロトコルがこの脆弱性の影響を受けていることを確認しています。Xaman Walletは、トランザクションと秘密鍵の処理に自社製のインフラストラクチャとライブラリを使用していると述べています。一方、 XRPScanは、古いバージョンのxrpl.jsを使用しており、秘密鍵を処理していないと述べています。.
Bitfrostウォレット、 DeFi プロトコルOpulenceX、ミームコインRibbleXRP、Web3ゲームプラットフォームGen3 Gamesなども影響を受けていないことを確認している。.
XRPL サプライチェーン攻撃は、暗号関連のプロジェクトを悪用するためにソフトウェア パッケージを標的とする悪意のある人物による最新のdent です。.
3月、ハッカーたちはGitHub Actionsのサプライチェーン攻撃でCoinbaseを標的とし、同社のオープンソースAgentKitの破壊を試みましたが、失敗に終わり、Coinbaseは攻撃を阻止し、代わりに複数のリポジトリへの攻撃を決定しました。.
サイバーセキュリティの専門家は、悪名高い北朝鮮のハッカー集団「ラザルス」がNPMリポジトリを利用して暗号資産開発者を標的にし、プロジェクトにバックドアを作成していることを発見している。彼らが今回の攻撃に関与しているかどうかは不明である。
