A biblioteca JavaScript npm da criptomoeda Ripple, nomeada como xrpl.js, foi comprometida por atores de ameaças desconhecidos como parte de um ataque na cadeia de suprimentos de software designado para colher e exfiltrar chaves privadas dos usuários.
A atividade maliciosa foi detectada em cinco diferentes versões do pacote: 4.2.1, 4.2.2, 4.2.3, 4.2.4 e 2.14.2.
O problema foi solucionado nas versões 4.2.5 e 2.14.3.
xrpl.js é uma API JavaScript popular para a interação com o blockchain XRP Ledger, também chamado de Protocolo Ripple, uma plataforma de criptomoeda lançada pela Ripple Labs em 2012.
O pacote já foi baixado mais de 2,9 milhões de vezes até o momento, atraindo mais de 135.000 downloads semanais.
“O pacote NPM oficial do XPRL (Ripple) foi comprometido por atacantes sofisticados que inseriram uma backdoor para roubar chaves privadas de criptomoeda e ganhar acesso às carteiras de criptomoeda,” disse Charlie Eriksen da Aikido Security.
As alterações de código maliciosas foram encontradas como introduzidas por um usuário chamado “mukulljangid” a partir de 21 de abril de 2025, com os atores de ameaça introduzindo uma nova função chamada checkValidityOfSeed que é projetada para transmitir as informações roubadas para um domínio externo (“0x9c[.]xyz”).
É importante notar que “mukulljangid” provavelmente pertence a um funcionário da Ripple, indicando que a sua conta npm foi hackeada para realizar o ataque na cadeia de suprimentos.
O atacante teria tentado diferentes maneiras de introduzir a backdoor enquanto tentava evitar detecção, conforme evidenciado pelas diferentes versões lançadas em um curto espaço de tempo.
Não há evidências de que o repositório associado no GitHub tenha sido comprometido.
Não está claro quem está por trás do ataque, mas acredita-se que os atores de ameaças conseguiram roubar o token de acesso npm do desenvolvedor para adulterar a biblioteca, conforme relatado pela Aikido.
À luz do incidente, aconselha-se que os usuários que dependem da biblioteca xrpl.js atualizem suas instâncias para a versão mais recente (4.2.5 e 2.14.3) para mitigar potenciais ameaças.
“Essa vulnerabilidade está no xrpl.js, uma biblioteca JavaScript para interagir com o XRP Ledger,” disse a Fundação XRP Ledger em uma postagem no X.
Isso não afeta a base de código do XRP Ledger ou o repositório Github em si. Projetos que utilizam o xrpl.js devem atualizar para a v4.2.5 imediatamente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...