交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
XRPLedger官方JavaScript SDK曝出严重漏洞
Aikido Security近日披露了XRPLedger(XRPL)官方JavaScript SDK中的一个安全漏洞。自4月21日起,多个被植入后门的XRPL Node Package Manager(NPM)软件包版本被发布到注册表中。受影响的版本包括v4.2.1至v4.2.4以及v2.14.2,这些版本包含一个能够窃取私钥的后门程序,对依赖该软件的加密货币钱包构成了严重威胁。
漏洞发现过程
NPM软件包是用于JavaScript和Node.js项目的可重用模块,旨在简化安装、更新和删除过程。据Aikido Security称,其自动化威胁监控平台于4月21日UTC时间20:53检测到异常,当时NPM用户"mukulljangid"发布了五个新版本的XRPL软件包。这些发布版本与官方GitHub仓库中的任何标记版本都不匹配,立即引发了供应链被入侵的怀疑。
Aikido的分析发现,被入侵的软件包包含一个名为checkValidityOfSeed的函数,该函数向新注册且未经验证的域名0x9c[.]xyz发出外部调用。该函数在钱包类实例化期间被触发,导致在创建钱包时私钥被静默传输。
攻击手法演变
早期版本(v4.2.1和v4.2.2)将恶意代码嵌入到构建的JavaScript文件中。随后的版本(v4.2.3和v4.2.4)将后门引入TypeScript源文件,然后将其编译到生产代码中。攻击者似乎在不断改进规避技术,从手动操作JavaScript转向更深层次地集成到SDK的构建过程中。
报告指出,该软件包被数十万个应用程序和网站使用,此次事件被描述为针对加密开发基础设施的有针对性攻击。被入侵的版本还从package.json文件中删除了prettier等开发工具和脚本,进一步表明存在蓄意篡改行为。
官方回应与应对措施
XRP Ledger基金会于4月22日通过X平台发布公开声明,承认了该问题。声明中表示:"今天早些时候,@AikidoSecurity的安全研究人员在xrpl npm包(v4.2.1-4.2.4和v2.14.2)中发现了一个严重漏洞。我们已经意识到这个问题,并正在积极修复。后续将发布详细的事后分析报告。"
基于XRP Ledger的Gen3 Games公司CTO Mark Ibanez表示,他的团队"有点幸运"地避开了被入侵的软件包版本。他补充道:"我们的package.json指定了'xrpl': '^4.1.0',这意味着在正常情况下,任何兼容的次要或补丁版本——包括可能被入侵的版本——都可能在开发、构建或部署期间被安装。"
然而,Gen3 Games将其pnpm-lock.yaml文件提交到版本控制中。这种做法确保了在开发和部署期间安装的是确切的版本,而不是新发布的版本。Ibanez强调了几种降低风险的做法,例如始终将"lockfile"提交到版本控制中,尽可能使用Performant NPM(PNPM),并避免在package.json中使用插入符号(^)以防止意外的版本升级。
影响范围与后续处理
由Ripple维护并通过NPM分发的软件开发工具包每周下载量超过14万次,开发者广泛使用它在XRP Ledger上构建应用程序。XRP Ledger基金会在漏洞披露后不久就从NPM注册表中删除了受影响的版本。然而,目前尚不清楚在该问题被标记之前,有多少用户已经集成了被入侵的版本。
