在最近更新的XRP Ledger JavaScript开发库版本中发现了严重的软件漏洞,加密货币开发者社区普遍发出了警报。
XRP Ledger 基金会宣布,在与 XRP Ledger 进行交互的常用软件开发工具包 xrpl JavaScript 包的多个版本中发现了一个安全漏洞。
根据Vakfa,这一漏洞是由Aikido Security的恶意软件研究员Charlie Eriksen发现的,他将这个问题描述为“一种潜在的破坏性”供应链攻击。
埃里克森警告说:“这个安全漏洞可能允许恶意个人窃取用户的私钥并获得对钱包的未经授权访问”,但尚不清楚是否有任何用户直接受到影响。
受影响的版本包括从v4.2.1到v4.2.4以及v2.14.2的版本。自那时以来,XRP Ledger工程团队发布了v4.2.5版本,使被安全漏洞影响的包无效。建议依赖受影响版本的用户和开发者立即进行更新。
Vakıf在社交媒体上发布的跟进声明中表示:
“为了澄清:这个漏洞存在于一个名为 xrpl.js 的 JavaScript 库中,该库用于与 XRP Ledger 进行交互。它并未影响 XRP Ledger 的代码库或 GitHub 存储库本身。”
恶意代码似乎是通过一个广泛用于分享JavaScript包的平台——Node Package Manager (NPM)引入的。由于项目如Xaman Wallet和XRPScan没有采用受威胁的版本,确认它们的服务可能未受到影响。
XRP Ledger Vakfı表示,当获得更多关于后门如何使用的信息时,将发布事件的完整事后分析。
