- Porte dérobée dans XRPL.js packages NPM exposés clés privées dans les versions 4.2.1 à 4.2.4
- Seule la distribution NPM a été compromise, le dépôt GitHub n’est pas affecté
- La version 4.2.5 est sortie rapidement pour corriger les vulnérabilités et sécuriser les environnements de développement
Une faille de sécurité critique a ébranlé la communauté de développement XRP suite à la découverte d’une porte dérobée dans XRPL.js versions 4.2.1 à 4.2.4 du package NPM. Le code malveillant, présent dans les versions 4.2.1 à 4.2.4, était capable de voler les clés privées des utilisateurs et de les transmettre à des attaquants.
Cela a incité le directeur de la technologie de Ripple, David Schwartz, à émettre un avertissement public. Il est fortement conseillé aux développeurs qui utilisent ces versions compromises de traiter toutes les informations d’identification exposées comme compromises.
Violation limitée au MNP ; Coffre-fort Core Ledger
La brèche, signalée pour la première fois par Aikido Security, a révélé que la distribution NPM de XRPL.js avait été modifiée avec un code de vol de clés ; le référentiel GitHub n’a pas été affecté. Cela suggère que seul le canal NPM a été compromis.
À lire également : Le stablecoin RLUSD de Ripple est mis en ligne pour les prêts et les emprunts sur Aave V3
Par conséquent, les développeurs utilisant des sources fiables comme GitHub ne sont pas affectés. L’ingénieur principal de RippleX, Mayukha Vadari, a confirmé que le XRP Ledger de base est toujours sûr et fonctionne normalement.
Correctif rapide émis, l’écosystème répond
En moins de 24 heures, les versions malveillantes ont été supprimées de NPM. Une version sécurisée, 4.2.5, a maintenant été publiée en tant que correctif. De plus, les utilisateurs opérant sur la branche 2.x peuvent utiliser la version 2.14.3 en toute sécurité. L’action rapide de la XRP Ledger Foundation et de l’équipe de développement de Ripple a permis de contenir ce qui aurait pu être une menace généralisée.
À lire également : Les rêves d’introduction en bourse de Ripple dépendent de la décision de vente d’un juge
L’exploit a suscité des inquiétudes au sein de la communauté des développeurs blockchain, en particulier des services intégrant XRPL.js. Les fournisseurs de portefeuilles Xaman, First Ledger et Gen3Games ont annoncé qu’ils n’avaient pas été compromis. La XRP Ledger Foundation a également supprimé les packages malveillants.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
