XRP Ledger SDK Tedarik Zinciri Saldırısı: Kötü amaçlı NPM sürümleri özel anahtarları çaldı; Kullanıcılar güncellemeye çağırdı xrpl Hemen 4.2.5 veya 2.14.3’e paketleyin.
XRP defterinin kullanıcıları hedefleyen ciddi bir güvenlik ihlali, Aikido Intel Tehdit Tespit Sistemi tarafından ortaya çıkarıldı. Aikido’nun araştırması, yetkiliyi tehlikeye atan sofistike bir tedarik zinciri saldırısı olduğunu ortaya koyuyor xrpl XRP defteri ile etkileşim kurmak için yaygın olarak kullanılan bir yazılım geliştirme kiti (SDK) olan Düğüm Paket Yöneticisi (NPM) paketi.
Bu kötü niyetli sızma, kullanıcıların özel anahtarlarını çalmak için tasarlanmış bir arka kapı tanıtımı ile sonuçlandı ve saldırganlara kripto para cüzdanları üzerinde tam kontrol sağladı. Şüphe 21 Nisan’da 20:53 GMT+0’da yeni yayınlandı. xrpl Haftalık 140.000’den fazla indirme olan NPM’deki paket, GitHub’daki resmi sürümlerle uyumlu olmayan kötü amaçlı kod içeriyordu.
Uzaklaştırılmış versiyonlar 4.2.4, 4.2.3, 4.2.2, 4.2.1 ve 2.14.2 idi, GitHub’daki en son meşru sürüm saldırı sırasında 4.2.0 idi. Bu tutarsızlık endişeleri dile getirdi.
Aikido’nun kötü amaçlı araştırmacısı Charlie Eriksen, sadece hackread.com ile paylaşılan blog yazısında açıklanan “Bu paketlerin GitHub’da eşleşen bir sürüm olmadan ortaya çıkması çok şüpheli” dedi.
Daha fazla problama, SRC/Index.ts Dosyasında, Rogue Paketlerinin 4.2.4’ün (en son sürüm olarak etiketlendiği), zararsız görünümlü bir işlevi olan SRC/Index.ts dosyasında olağandışı kodu ortaya çıkardı. checkValidityOfSeedancak tanıdık olmayan bir alana bir HTTP sonrası isteğine yol açtı, 0x9cxyz. Alanın kayıt bilgileri analizi, meşruiyetiyle ilgili endişeleri artırarak yeni oluşturulduğunu gösterdi.
Daha derine inen araştırmacılar, cüzdan sınıfının yapıcısı da dahil olmak üzere kritik işlevler içinde checkValidididididy’nin çağrıldığını keşfettiler. src/Wallet/index.ts. Bu, kötü niyetli kodun, bir uygulama içinde bir cüzdan nesnesi somutlaştırıldığında yürütülmesine izin verdi. xrpl Paket, kullanıcının özel anahtarını (bir kullanıcının XRP fonlarına erişmek ve yönetmek için gerekli) saldırganın sunucusuna göndermeye çalışır.
Bu, arka kapının özel anahtarları çalmasına izin verdi.
Araştırmacılar ayrıca saldırganların yöntemlerinin geliştiğini de kaydetti. İlk kötü niyetli sürümler (4.2.1 ve 4.2.2), daha sonraki uzlaşmış sürümlere kıyasla farklı değişiklikler gösterdi. İlk sürümler, Pack.json dosyasından oluşturulmuş JavaScript dosyalarına, komut dosyalarını ve daha güzel yapılandırmaları (daha güzel kodun kodunuzu nasıl otomatik olarak biçimlendirdiğini yöneten ayarlar ve kurallar) kaldırarak kötü amaçlı kodu tanıttı. Sürüm 4.2.3 ve 4.2.4, kötü amaçlı kodu doğrudan TypeScript kaynak koduna entegre ederek, tespit edilmeme yaklaşımlarında bir iyileştirmeyi gösterdi.
Bu tedarik zinciri saldırısının açıklanmasının ardından yetkili xrpl Ekip, paketin iki yeni, temiz versiyonunu yayınladı: 4.2.5 ve 2.14.3. Kullanıcılar, herhangi bir potansiyel riski azaltmak için hemen bu güvenli sürümleri güncellemeye teşvik edilir.
Araştırmacılar ayrıca “kod tarafından işlenen herhangi bir tohum veya özel anahtarın tehlikeye atıldığını” ve dolayısıyla kullanılamaz olarak kabul edilmesi gerektiğini vurguladılar. Onlarla ilişkili herhangi bir kripto para birimi varlığı derhal yeni oluşturulan özel bir anahtarla yeni, güvenli bir cüzdana aktarılmalıdır.