Risque de sécurité JavaScript de la Fondation XRP Ledger – Mise à jour nécessaire

• Le chercheur en sécurité blockchain d’Alkido a identifié une vulnérabilité grave dans le package NPM XRPL V4.2.1-4.2.4 et v2.14.2.
• Ce package est utilisé par des centaines de milliers d’applications et de sites Web qui volent des clés privées dès qu’un objet de portefeuille est instancié.

Le 22 avril, la Fondation XRP Ledger a publié un avertissement de sécurité urgent en ce qui concerne une vulnérabilité critique dans sa bibliothèque JavaScript officielle, XRPL.js, que les développeurs utilisent pour interagir avec la blockchain du grand livre XRP. La vulnérabilité a été identifiée comme une attaque de chaîne d’approvisionnement sophistiquée, dans laquelle le code de logiciel malveillant a été inséré dans certaines versions du package XRPL.js qui peut saper la sécurité des portefeuilles de crypto-monnaie en utilisant cette bibliothèque. Aikido Intel, le flux de menaces publics de l’Aikido qui utilise les LLM pour surveiller les gestionnaires de packages publics, a découvert la vulnérabilité.

Les versions affectées de xrpl.js, en particulier V4.2.1 à V4.2.4 et v2.14.2, contenaient une fonction de porte dérobée nommée VechValidityofed. La fonction a été conçue pour piloter des clés privées en les envoyant dans un domaine externe non autorisé lors de la génération ou du fonctionnement avec un portefeuille.

Le malware a été inséré par un individu à l’aide du compte NPM «Mukulljangid», qui a publié ces versions entachées dans le registre du gestionnaire de packages de nœuds (NPM). Un package NPM est un module réutilisable pour les applications Node.js et JavaScript qui simplifie l’installation, les mises à jour et la désinstallation. Ces versions n’étaient en phase avec aucune version du référentiel GitHub de la Fondation XRP Ledger, qui a immédiatement suscité des soupçons parmi les chercheurs en sécurité.

Évaluation de l’impact

Le bogue a révélé une vulnérabilité critique à toute application ou service utilisant les versions compromises de xrpl.js, car elle pourrait conduire à un accès non autorisé aux clés privées des utilisateurs et à la perte de fonds ultérieure. Notamment, la blockchain XRP Ledger et le référentiel officiel GitHub n’ont pas été touchés.

D’autres projets liés à XRP, tels que Xamans Wallet, XRPSCAN, First Ledger et Gen3 Games, ont annoncé qu’ils n’ont pas été touchés par la violation, soit en publiant des versions sûres de la bibliothèque, soit en utilisant d’autres infrastructures.

À la suite de cela, la XRP Ledger Foundation a simultanément déprécié toutes les versions compromises de XRPL.js sur NPM pour éviter de futurs téléchargements. Les versions vulnérables de xrpl.js sur NPM doivent être mises à jour immédiatement pour éviter des téléchargements supplémentaires. Il a publié une version corrigée, v4.2.5, qui élimine le code malveillant et restaure les fonctionnalités sécurisées.

Les développeurs et les projets utilisant les versions vulnérables de la bibliothèque XRPL.JS sont invités à prendre des mesures immédiates pour sécuriser leurs systèmes et fonds d’utilisateurs. Ils sont recommandés de passer à la version fixe, xrpl.js v4.2.5, ou de rétrograder vers la v2.14.3 stable et non affectée. De plus, tous les secrets ou clés privés exposés doivent être tournés immédiatement. Par précaution supplémentaire, les clés de maîtrise vulnérables doivent être désactivées et remplacées par des paires de clés standard nouvellement générées pour assurer la sécurité et l’intégrité.

Dans cet esprit, XRP a franchi le niveau de résistance clé de 2,20 $, passant à 2,26 $ après une augmentation de 7,71% au cours des dernières 24 heures. Cette vague de prix a été reflétée par une augmentation du trading, avec un volume quotidien augmentant par 104,04% à 5,04 milliards de dollars.

Recommandé pour vous: