近期，Ripple推薦加密貨幣NPM JavaScript庫名為“xrpl.js”，被入侵竊取Ripple錢包種子和私鑰，并將其轉移到攻擊者控制的服務器上，允許威脅者竊取存儲在錢包中的所有資金。

惡意代碼被添加到xrpl NPM包的2.14.2、4.2.1、4.2.2、4.2.3和4.2.4版本中，并于下午時間4:46到5:49之間發布到NPM注冊表中。這些被破壞的版本已經被刪除，現在有一個干凈的4.2.5版本，所有用戶都應該立即升級到這個版本。

xrpl.js庫由Ripple幣賬本基金會（XRPLF）維護，是Ripple幣通過JavaScript與Ripple幣區塊鏈交互的推薦庫。它支持錢包操作、XRP轉賬和其他分類賬功能。由于它是與XRP區塊鏈交互的推薦庫，它已經被廣泛采用，在過去的一周內下載量超過14萬次。

NPM庫通過可疑方法進行了修改，名為CheckValitysofdeed將附加到折衷版本中的“

/src/index.ts

”文件的末尾進行了修改。此功能接受字符串作為參數，然后通過http Post請求轉發給https：// 0x9c [。] xyz/xcm，威脅者可以在其中收集它。該代碼試圖通過使用“ AD-REFFERAL”用戶代理使其看起來像網絡流量監視系統的廣告請求，從而試圖變得隱秘。

惡意代碼插入到xrpl.js NPM庫中

根據開發安全公司Aikido的說法，checkValidityOfSeed（）函數在各種函數中被調用，用于竊取XRP錢包的種子、私鑰和助記符。

通過checkValidityOfSeed函數竊取數據

威脅者可以利用這些信息在自己的設備上導入被盜的XRP錢包，以提取其中的任何資金。目前已經確定，受感染的版本是在不同時間上傳的，總共有452次下載。雖然總下載量并不大，但這個庫可能被用來管理和連接更多的XRP錢包。

惡意代碼似乎是由與Ripple組織相關的開發人員帳戶添加的，可能是通過受損的憑證添加的。惡意提交沒有出現在公共GitHub存儲庫中，這表明攻擊可能發生在NPM發布過程中。

如果用戶使用其中一個版本，請立即停止并旋轉與受影響系統的任何私鑰或秘密。XRP Ledger支持鑰匙旋轉：https：//xrpl.org/docs/tutorials/how-tos/how-tos/manage-manage-acccount-account-settings/assign-a-a-a-regular-regular-key-pair-，如果任何帳戶的主密鑰可能被妥協，則應將其禁用：https：//xrpl.org/docs/tutorials/how-tos/manage-manage-account-settings/disable-master-key-pair。”

開發人員稱，XRP賬本代碼庫或GitHub存儲庫沒有受到影響。“澄清一下：這個漏洞存在于xrpl.js中，這是一個用于與XRP賬本交互的JavaScript庫。它不會影響XRP賬本代碼庫或Github存儲庫本身。使用xrpl.js的項目應該立即升級到v4.2.5，”XRP賬本基金會在X上發布。

開發商還證實，Xaman錢包、XRPScan、First Ledger和Gen3 Games項目沒有受到供應鏈攻擊的影響。這種供應鏈攻擊類似于之前以太坊和索拉納npm用于竊取錢包種子和私鑰的攻擊。

參考及來源：https://www.bleepingcomputer.com/news/security/ripples-recommended-xrp-library-xrpljs-hacked-to-steal-wallets/