XRP Ledger SDK durch Backdoor-Exploit kompromittiert
Die XRP Ledger Foundation hat vor einer Sicherheitslücke in dem offiziellen JavaScript-SDK gewarnt, das mit dem XRP Ledger (XRPL) interagiert.
Am 21. April gab Aikido Security bekannt, dass mehrere Versionen ihrer Node Package Manager (NPM)-Software kompromittiert und veröffentlicht wurden, die eine Hintertür enthielten, um private Schlüssel von Nutzern zu stehlen.
Sicherheitsmangel im Entwicklerkit
Die XRP Ledger Foundation bestätigte das Problem am 22. April:
“Earlier today, a security researcher from @AikidoSecurity identified a serious vulnerability in the xrpl npm package (v4.2.1-4.2.4 and v2.14.2).”
Als Reaktion auf den Vorfall beruhigte Wietse Wind, Gründer und CEO von XRPL Labs, die Nutzer, dass die Xaman Wallet nicht von der Schwachstelle betroffen sei. Wind erklärte, dass das Produkt nicht xrpl.js verwendet, sondern auf seine eigenen Bibliotheken xrpl-client und xrpl-accountlib setzt, die die Wallet-Konnektivität vom Signaturprozess trennen.
Er beschrieb auch, wie sich der Vorfall abspielte und erklärte, dass der bösartige Code im xrpl.js-Paket generierte oder importierte private Schlüssel an einen externen Server sendete, der vom Angreifer kontrolliert wurde. Dadurch konnten Hacker Schlüsselpaaren sammeln, auf die Finanzierung der Wallets warten und dann die Vermögenswerte stehlen.
Wind forderte alle auf, die kürzlich eine XRP-Wallet mit der API oder verwandten Tools erstellt hatten, davon auszugehen, dass diese kompromittiert wurde, und ihre Gelder sofort zu übertragen.
Er betonte, dass solche Angriffe auf jede Software erfolgen können, die auf Drittanbieterbibliotheken angewiesen ist, und dass Entwickler Vorsichtsmaßnahmen treffen müssen. Er riet dazu, den Veröffentlichungszugang zu beschränken, Code vor dem Release zu überprüfen, automatische Veröffentlichungspipelines zu vermeiden und private Schlüssel nur dann direkt zu verwalten, wenn man vollständig in der Lage ist, die damit verbundenen Risiken zu handhaben.
XRPL gibt dringenden Patch heraus
Nach dem Vorfall hat die XRP Ledger Foundation eine bereinigte Version des NPM-Pakets veröffentlicht, den bösartigen Code entfernt und sichergestellt, dass das SDK für Entwickler wieder sicher ist.
Aikido Security entdeckte die Schwachstelle, nachdem ihr automatisiertes Bedrohungsüberwachungssystem verdächtige Updates des XRPL-Pakets auf NPM meldete. Diese Updates, veröffentlicht von einem Benutzer namens “mukulljangid”, umfassten fünf neue Versionen, die mit keinem offiziellen Release im GitHub-Repository des XRP Ledgers übereinstimmten.
Nach einer Untersuchung stellte Aikido fest, dass die kompromittierten Versionen eine bösartige Funktion namens checkValidityOfSeed enthielten, die private Schlüssel an den Server des Hackers unter 0x9c[.]xyz sendete, wenn Benutzer eine Wallet erstellten, die es ihnen ermöglichen könnte, ihre Kryptoassets zu stehlen.
Frühe Versionen (v4.2.1 und v4.2.2) versteckten die Hintertür in kompilierten JavaScript-Dateien, während spätere Versionen (v4.2.3 und v4.2.4) den bösartigen Code direkt in TypeScript-Quelldateien einbetteten, was die Erkennung erschwerte. Die kompromittierten Pakete entfernten auch Entwicklungstools wie Prettier und Build-Skripte aus der package.json-Datei, was auf eine absichtliche Manipulation hinweist.
Der Vorfall ereignet sich nur wenige Wochen, nachdem Ripple die $1,25 Milliarden schwere Übernahme der Prime-Brokerage-Firma Hidden Road bekannt gab, ein Schritt, von dem Experten glauben, dass er XRPL zu einem wichtigen Kanal für institutionelle Gelder machen wird.
Laut Ripple-CEO Brad Garlinghouse wird das Netzwerk für die Nachhandelsabwicklung bei einigen Transaktionen genutzt, was es möglicherweise in eine Clearing- und Kreditplattform im Unternehmensmaßstab verwandelt.
