XRP Ledger SDK遭受供应链攻击：恶意NPM版本窃取私钥；敦促用户xrpl立即将软件包更新至4.2.5或2.14.3。

Aikido英特尔威胁检测系统发现了一个针对XRP账本用户的严重安全漏洞。Aikido的研究表明，这是一次复杂的供应链攻击，入侵了官方的xrpl节点包管理器(NPM)软件包，该软件包是与XRP账本交互的广泛使用的软件开发工具包(SDK)。

此次恶意渗透导致攻击者植入后门，窃取用户私钥，从而完全控制用户的加密货币钱包。4月21日20:53（格林尼治标准时间+0），NPMxrpl上新发布的五个软件包版本（每周下载量超过14万次）包含与GitHub官方版本不一致的恶意代码，引发了人们的怀疑。

被入侵的版本号分别为4.2.4、4.2.3、4.2.2、4.2.1和2.14.2，而攻击发生时GitHub上最新的合法版本号为4.2.0。这种差异引发了人们的担忧。

Aikido的恶意软件研究员Charlie Eriksen在分享的博客文章中透露：“这些软件包在GitHub上没有对应的版本，这一事实非常可疑。”

进一步调查发现，恶意软件包4.2.4版本（标记为最新版本）的src/index.ts文件中存在异常代码，其中包含一个看似无害的函数，名为checkValidityOfSeed，但却导致向一个陌生域名发出HTTP POST请求0x9cxyz。该域名的注册信息分析表明它是新创建的，这引发了人们对其合法性的担忧。

深入挖掘后，研究人员发现checkValidityOfSeed在关键函数中被调用，包括中的Wallet类的构造函数src/Wallet/index.ts。这使得恶意代码能够在使用受感染xrpl包的应用程序中实例化Wallet对象时执行，并尝试将用户的私钥（访问和管理用户XRP资金所需）发送到攻击者的服务器。

这使得后门可以在“Wallet对象实例化后”窃取私钥。

研究人员还注意到，攻击者的攻击方法不断演变。初始恶意版本（4.2.1和4.2.2）与后续受感染版本相比，表现出不同的修改方式。早期版本将恶意代码引入构建的JavaScript文件中，从package.json文件中删除了脚本和Prettier配置（用于控制Prettier代码格式化程序如何自动格式化代码的设置和规则）。4.2.3和4.2.4版本将恶意代码直接集成到TypeScript源代码中，这表明攻击者为了避免被发现，改进了攻击方法。

此次供应链攻击事件曝光后，官方xrpl已发布两个新的安全版本：4.2.5和2.14.3。强烈建议用户立即更新至这两个安全版本，以降低潜在风险。

研究人员还强调，“任何由该代码处理的种子或私钥都已被泄露”，因此应被视为不可用。与其相关的任何加密货币资产都应立即转移到一个带有新生成私钥的安全新钱包中。