소프트웨어 보안 회사 인 Aikodo는 XRP Ledger 개발자에게 해커가 개인 키를 훔칠 수 있도록 XRPL 소프트웨어 개발 키트 (SDK)의 취약성을 경고했습니다. 개발자 중심 회사는 취약점이 XRPL 버전 4.2.1-4.2.4라고 말했다.
회사 에 따르면 , 먼저 XRP L 패키지 에 5 개의 새로운 패키지가 추가 된 후 4 월 21 일 20:53 GMT+0에 취약점을 틀 렸습니다 dent 면밀히 조사한 결과, 나쁜 배우들은 개인 키를 훔치기 위해 백도어를 추가하여 패키지를 타협 한 것으로 나타났습니다.
그것은 말했다:
"우리는 공식 XPRL (Ripple) NPM 패키지가 Cryptocurrency 개인 키를 훔치고 cryptocurrency 지갑에 액세스하기 위해 백도어를 넣은 정교한 공격자들에 의해 손상되었음을 신속하게 확인했습니다."
패키지의 평균 주당 140,000 개의 다운로드가 있고 수천 개의 웹 사이트 및 응용 프로그램이 사용되기 때문에 Incident 암호화 산업의 비참한 공급망 공격 일 수 있습니다.
보고서에 따르면 해커는 트레일을 숨기고 취약점이 보이지 않도록 여러 버전의 패키지를 사용했습니다. 그러나 Aikido는 NPM 및 Ident와 같은 공개 패키지 관리자를 모니터링하는 Aikido Intel 도구로 인해 IFY IT를dent수있었습니다.
XRPL Foundation은 타협을 인정합니다
한편, XRP L 의 비영리 단체 인 XRP L Foundation은 inci dent XRP 하고 취약성에 대한 수정을 배치했습니다. XRP L 패키지의 버전 4.2.5를 손상된 버전의 대체물로 출판했다고 밝혔다
손상된 버전을 가진 개발자는 즉시 대체하는 것이 좋습니다. 재단은 또한 NPM의 모든 타협 된 버전을 사용하여 아무도 다운로드 할 수 없도록했습니다.
XRP L 코드베이스 또는 GitHub 저장소에 영향을 미치지 않는다고 덧붙였다
재단은 말했다 :
"이 취약점은 XRP 원장과 상호 작용하기위한 JavaScript 라이브러리 인 XRPL.JS에 있습니다. XRP 원장 코드베이스 또는 GitHub 리포지토리 자체에 영향을 미치지 않습니다. XRPL.JS를 사용하는 프로젝트는 즉시 v4.2.5로 업그레이드해야합니다."
지금까지 네트워크의 여러 프로토콜에 따르면 취약점이 영향을 미쳤다는 것을 확인했습니다. Xaman Wallet은 사내 인프라와 라이브러리를 사용하여 거래 및 개인 키를 처리하는 반면 XRP스캔은 이전 버전의 XRPL.JS를 사용하고 개인 키를 처리하지 않는다고 말했습니다.
Bitfrost Wallet, DeFi Protocol Opulencex, Memecoin RibbleXRP및 Web3 게임 플랫폼 Gen3 게임과 같은 다른 사람들도 영향을받지 않았다는 것을 확인했습니다.
XRPL 공급망 공격은 암호화 관련 프로젝트를 이용하기 위해 소프트웨어 패키지를 타겟팅하는 나쁜 행위자의 최신 incident 입니다.
3 월에 해커는 Exchange의 오픈 소스 Agentkit을 파괴하려고 노력함으로써 Github Action 공급망 공격에서 Coinbase를 목표로 삼았습니다. 그러나 그들은 실패했고, 코인베이스는 시도를 촉진하여 대신 여러 리포지토리를 공격하기로 결정했습니다.
북한 해커 그룹 인 나사로가 NPM 리포지토리를 사용하고 프로젝트에서 백도어를 만드는 암호화 개발자를 대상으로하고 있음 을 발견했습니다 그들이 관여하는지는 확실하지 않습니다
크립토 폴리탄 아카데미 : 시장 스윙에 지쳤습니까? DeFi 어떻게 도움이되는지 알아보십시오. 지금 등록하십시오
