- El paquete NPM oficial de XRP Ledger fue inyectado con una puerta trasera que roba criptomonedas.
- Las versiones de NPM afectadas son 4.2.1 a 4.2.4 y 2.14.2.
- Los usuarios deben actualizar a versiones parcheadas y rotar las claves privadas.
Un ataque a la cadena de suministro comprometió el SDK oficial de JavaScript de XRP Ledger, inyectando una puerta trasera en versiones específicas de NPM. Una puerta trasera en versiones específicas de NPM apuntó al robo de claves privadas, poniendo en riesgo las billeteras XRP conectadas.
SlowMist emitió una alerta de alta prioridad instando a las actualizaciones inmediatas y la rotación de credenciales.
Cómo el código malicioso afecta a NPM
El ataque se centró en el paquete xrpl NPM, utilizado por los desarrolladores para interactuar con la cadena de bloques XRP Ledger. Entre el 21 de abril a las 20:53 GMT+0 y el 22 de abril, las versiones maliciosas 4.2.1 a 4.2.4 y 2.14.2 se publicaron en NPM bajo un nombre de paquete legítimo.
Relacionado: La Fundación XRP Ledger actúa rápido en XRPL.js error; Amenaza neutralizada
Sin embargo, un usuario no autorizado, «mukulljangid» hizo estas versiones. Estas versiones incluían código que podía robar claves privadas de billeteras criptográficas.
A diferencia de las actualizaciones estándar, estas versiones no se reflejaron en el repositorio oficial de GitHub, lo que provocó señales de alerta dentro de la comunidad de seguridad. Aikido, una plataforma de monitoreo de la cadena de suministro de software, identificó por primera vez la actividad sospechosa y publicó sus hallazgos el 21 de abril.
Cómo funcionó la puerta trasera
La puerta trasera funcionaba introduciendo una función remota que se conectaba a un dominio sospechoso: 0x9c[.]Xyz. Una vez activo, podría extraer datos confidenciales, incluidas las claves privadas, y enviarlos externamente. El código eludió las comprobaciones de seguridad tradicionales al ocultarse en bibliotecas de software de confianza, exponiendo a una amplia gama de aplicaciones y usuarios al riesgo.
Las versiones afectadas ya se habían descargado miles de veces antes de ser detectadas. Dado que el paquete recibe más de 140.000 descargas semanales, la violación podría haber afectado a numerosas aplicaciones centradas en las criptomonedas.
Arreglar los problemas, se aconsejan acciones urgentes
El equipo de desarrollo de XRP Ledger respondió eliminando las versiones maliciosas y publicando versiones parcheadas: 4.2.5 y 2.14.3.
Aikido instó a los desarrolladores a tomar medidas inmediatas para proteger sus sistemas y los datos de los usuarios. En primer lugar, deben actualizar a las versiones parcheadas del paquete XRP Ledger, que han eliminado el código malicioso.
Es fundamental evitar instalar o utilizar versiones comprometidas, ya que contienen puertas traseras capaces de robar información confidencial.
Relacionado: Ripple apuesta USD 1.25 mil millones a que XRPL puede manejar el volumen de TradFi a través de Hidden Road
Además, los desarrolladores deben rotar las claves privadas o los secretos que puedan haber estado expuestos durante el período en que estas versiones estuvieron en uso. Por último, los sistemas deben ser monitoreados cuidadosamente para detectar cualquier tráfico saliente sospechoso, especialmente las conexiones al dominio 0x9c[.]xyz, que se ha vinculado a la actividad maliciosa.
SlowMist enfatizó que los desarrolladores que usan versiones anteriores (anteriores a 4.2.1 o anteriores a 2.14.2) no deben actualizar directamente a las versiones infectadas. En su lugar, deben pasar directamente a las versiones limpias.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
