В апреле 2025 года специалисты по кибербезопасности обнаружили серьезную уязвимость в популярной JavaScript-библиотеке xrpl.js, разработанной компанией Ripple для взаимодействия с блокчейном XRP Ledger. Злоумышленники внедрили вредоносный код, позволяющий похищать приватные ключи пользователей, что представляет прямую угрозу для сохранности криптовалютных активов.
Атака затронула версии 4.2.1, 4.2.2, 4.2.3, 4.2.4 и 2.14.2 библиотеки xrpl.js, которая является основным инструментом для взаимодействия с протоколом Ripple и блокчейном XRP Ledger, запущенным Ripple Labs еще в 2012 году. Учитывая популярность библиотеки, насчитывающей более 2,9 миллиона загрузок за все время и более 135 000 еженедельных загрузок, масштаб потенциального ущерба трудно переоценить.
Согласно расследованию, вредоносный код был внедрен пользователем с именем "mukulljangid", начиная с 21 апреля 2025 года. Злоумышленники добавили новую функцию "checkValidityOfSeed", которая передавала украденную информацию на внешний домен "0x9c[.]xyz". Примечательно, что аккаунт "mukulljangid", вероятно, принадлежит сотруднику Ripple, чья учетная запись npm была взломана. При этом GitHub-репозиторий проекта остался нетронутым — атака была направлена исключительно на пакет в npm.
Чарли Эриксен из компании Aikido Security отмечает, что злоумышленники использовали различные подходы для обхода обнаружения, тщательно маскируя вредоносный код. Хотя точная атрибуция угрозы остается неизвестной, эксперты предполагают, что атакующие, вероятно, похитили токен доступа разработчика к npm, что позволило им внедрить бэкдор в официальные версии библиотеки.
Уязвимость получила идентификатор CVE-2025-32965 и оценку по шкале CVSS в 9,3 балла, что классифицирует ее как критическую угрозу безопасности. XRP Ledger Foundation подтвердил, что уязвимость затрагивает только библиотеку xrpl.js, но не основной код XRP Ledger, что несколько ограничивает потенциальный масштаб атаки.
В качестве мер по устранению угрозы пользователям настоятельно рекомендуется обновиться до последних версий библиотеки — 4.2.5 и 2.14.3, в которых уязвимость устранена. Кроме того, специалисты по безопасности рекомендуют немедленно прекратить использование затронутых версий и произвести ротацию всех приватных ключей и секретов, которые могли использоваться с уязвимыми системами.
Особую осторожность следует проявить пользователям версии 2.14.2, хотя эксперты отмечают, что эта версия с меньшей вероятностью может привести к эксплуатации уязвимости. Тем не менее, учитывая критичность угрозы, рекомендуется обновить все экземпляры библиотеки независимо от используемой версии.
Данный инцидент подчеркивает растущую угрозу атак на цепочки поставок в экосистеме криптовалют, где компрометация одной библиотеки может потенциально привести к масштабным финансовым потерям. Разработчикам и организациям, работающим с криптовалютными проектами, рекомендуется усилить меры безопасности и внедрить многоуровневую защиту для предотвращения подобных инцидентов в будущем.
Атака затронула версии 4.2.1, 4.2.2, 4.2.3, 4.2.4 и 2.14.2 библиотеки xrpl.js, которая является основным инструментом для взаимодействия с протоколом Ripple и блокчейном XRP Ledger, запущенным Ripple Labs еще в 2012 году. Учитывая популярность библиотеки, насчитывающей более 2,9 миллиона загрузок за все время и более 135 000 еженедельных загрузок, масштаб потенциального ущерба трудно переоценить.
Согласно расследованию, вредоносный код был внедрен пользователем с именем "mukulljangid", начиная с 21 апреля 2025 года. Злоумышленники добавили новую функцию "checkValidityOfSeed", которая передавала украденную информацию на внешний домен "0x9c[.]xyz". Примечательно, что аккаунт "mukulljangid", вероятно, принадлежит сотруднику Ripple, чья учетная запись npm была взломана. При этом GitHub-репозиторий проекта остался нетронутым — атака была направлена исключительно на пакет в npm.
Чарли Эриксен из компании Aikido Security отмечает, что злоумышленники использовали различные подходы для обхода обнаружения, тщательно маскируя вредоносный код. Хотя точная атрибуция угрозы остается неизвестной, эксперты предполагают, что атакующие, вероятно, похитили токен доступа разработчика к npm, что позволило им внедрить бэкдор в официальные версии библиотеки.
Уязвимость получила идентификатор CVE-2025-32965 и оценку по шкале CVSS в 9,3 балла, что классифицирует ее как критическую угрозу безопасности. XRP Ledger Foundation подтвердил, что уязвимость затрагивает только библиотеку xrpl.js, но не основной код XRP Ledger, что несколько ограничивает потенциальный масштаб атаки.
В качестве мер по устранению угрозы пользователям настоятельно рекомендуется обновиться до последних версий библиотеки — 4.2.5 и 2.14.3, в которых уязвимость устранена. Кроме того, специалисты по безопасности рекомендуют немедленно прекратить использование затронутых версий и произвести ротацию всех приватных ключей и секретов, которые могли использоваться с уязвимыми системами.
Особую осторожность следует проявить пользователям версии 2.14.2, хотя эксперты отмечают, что эта версия с меньшей вероятностью может привести к эксплуатации уязвимости. Тем не менее, учитывая критичность угрозы, рекомендуется обновить все экземпляры библиотеки независимо от используемой версии.
Данный инцидент подчеркивает растущую угрозу атак на цепочки поставок в экосистеме криптовалют, где компрометация одной библиотеки может потенциально привести к масштабным финансовым потерям. Разработчикам и организациям, работающим с криптовалютными проектами, рекомендуется усилить меры безопасности и внедрить многоуровневую защиту для предотвращения подобных инцидентов в будущем.