Alerte concernant un code malveillant sur XRPL
David Schwartz, directeur technologique chez Ripple, a récemment alerté sur les réseaux sociaux concernant un code malveillant présent dans les dernières versions de la bibliothèque destinée aux développeurs de XRPL. Ce code est capable de voler des clés privées des utilisateurs.
Ce matin, Aikido Security a annoncé que le paquet XRPL sur NPM, le gestionnaire de paquets par défaut pour JavaScript, a été compromis. Plusieurs nouvelles versions de xrpl.js, le kit de développement logiciel pour le XRPL, ont été publiées avec ce code malveillant.
Impact et sécurité des utilisateurs
Le fait que ce code ne soit pas inclus dans le dépôt officiel GitHub a immédiatement suscité des inquiétudes. La présence de ce code suspect a été mise au jour grâce au système de surveillance des menaces alimenté par l’intelligence artificielle d’Aikido Security. Ce code malveillant peut envoyer les clés privées à un domaine inconnu, ce qui représente un signal d’alerte majeur. Les portefeuilles de crypto-monnaies des utilisateurs qui ont installé ces versions compromises risquent d’être sérieusement menacés. Les utilisateurs affectés doivent considérer leurs clés privées comme compromises.
Cependant, il est important de noter que les utilisateurs de XRP utilisant des applications bien établies comme Xumm devraient être peu affectés par cette situation. Les versions malveillantes ont d’ores et déjà été supprimées par les mainteneurs officiels de la XRP Ledger Foundation. La sécurité du XRP Ledger lui-même n’a pas été compromise et il continue de fonctionner normalement.
Selon Aikido Security : “Le XRPL va bien, c’est le SDK développeur qui a été compromis, ce qui est largement utilisé par des applications et des services de cryptomonnaie, mais le livre de comptes lui-même reste sécurisé.”
Cette assurance a également été confirmée par Mayukha Vadari, ingénieur logiciel senior chez RippleX. La XRP Ledger elle-même n’est pas affectée par cette situation. Les paquets malveillants n’impactent que les services qui utilisent xrpl.js et qui ont été mis à jour vers les versions compromises publiées dans les dernières 24 heures. Il convient de mentionner que GitHub demeure sécurisé, seul npm a été compromis.
Enquête en cours
La sécurité travaille actuellement sur une enquête pour identifier les acteurs de la menace impliqués dans cette attaque.
“Nous avons des pistes concernant les acteurs de cette menace, qui correspondent à un schéma récurrent que nous avons souvent observé. Nous mettrons à jour dès que nous aurons des confirmations,”
a déclaré un représentant.
