В недавно обновленной версии библиотеки разработки JavaScript для XRP Ledger была обнаружена серьезная уязвимость программного обеспечения, и сообщество разработчиков криптовалют было приведено в состояние тревоги.
Фонд XRP Ledger объявил о наличии уязвимости в нескольких версиях пакета xrpl JavaScript, который широко используется для взаимодействия с XRP Ledger.
По данным фонда, это было обнаружено Чарли Эриксеном, который является исследователем вредоносного ПО в Aikido Security и описал проблему как "потенциально разрушательную" атаку на цепочку поставок.
Эриксен предупредил, что "Этот уязвимость может позволить злоумышленникам украсть частные ключи пользователей и получить несанкционированный доступ к кошелькам", однако остается неясным, затронут ли какие-либо пользователи напрямую.
Среди затронутых версий находятся версии от v4.2.1 до v4.2.4 и v2.14.2. Команда инженеров XRP Ledger с тех пор выпустила версию v4.2.5, которая аннулирует скомпрометированные пакеты. Пользователям и разработчикам, полагающимся на затронутые версии, настоятельно рекомендуется немедленно обновиться.
Фонд в своем заявлении о подписке, опубликованном в социальных сетях, сказал следующее:
"Чтобы прояснить: эта уязвимость находится в xrpl.js, библиотеке JavaScript для взаимодействия с XRP Ledger. Она не затрагивает кодовую базу XRP Ledger или сам репозиторий GitHub."
Похоже, что вредоносный код был представлен через Node Package Manager (NPM), который является широко используемой платформой для обмена пакетами JavaScript. Проекты, такие как Xaman Wallet и XRPScan, подтвердили, что их услуги, вероятно, не пострадали, поскольку они не приняли подверженные риску версии.
Фонд XRP Ledger заявил, что будет опубликован полный пост-мортем по инциденту, когда будет получена дополнительная информация о том, как использовался backdoor.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Фонд XRP сделал первое заявление о уязвимости безопасности, которая может привести к краже активов пользователей: "Необходимо немедленно обновить"
В недавно обновленной версии библиотеки разработки JavaScript для XRP Ledger была обнаружена серьезная уязвимость программного обеспечения, и сообщество разработчиков криптовалют было приведено в состояние тревоги.
Фонд XRP Ledger объявил о наличии уязвимости в нескольких версиях пакета xrpl JavaScript, который широко используется для взаимодействия с XRP Ledger.
По данным фонда, это было обнаружено Чарли Эриксеном, который является исследователем вредоносного ПО в Aikido Security и описал проблему как "потенциально разрушательную" атаку на цепочку поставок.
Эриксен предупредил, что "Этот уязвимость может позволить злоумышленникам украсть частные ключи пользователей и получить несанкционированный доступ к кошелькам", однако остается неясным, затронут ли какие-либо пользователи напрямую.
Среди затронутых версий находятся версии от v4.2.1 до v4.2.4 и v2.14.2. Команда инженеров XRP Ledger с тех пор выпустила версию v4.2.5, которая аннулирует скомпрометированные пакеты. Пользователям и разработчикам, полагающимся на затронутые версии, настоятельно рекомендуется немедленно обновиться.
Фонд в своем заявлении о подписке, опубликованном в социальных сетях, сказал следующее:
"Чтобы прояснить: эта уязвимость находится в xrpl.js, библиотеке JavaScript для взаимодействия с XRP Ledger. Она не затрагивает кодовую базу XRP Ledger или сам репозиторий GitHub."
Похоже, что вредоносный код был представлен через Node Package Manager (NPM), который является широко используемой платформой для обмена пакетами JavaScript. Проекты, такие как Xaman Wallet и XRPScan, подтвердили, что их услуги, вероятно, не пострадали, поскольку они не приняли подверженные риску версии.
Фонд XRP Ledger заявил, что будет опубликован полный пост-мортем по инциденту, когда будет получена дополнительная информация о том, как использовался backdoor.