Rippleの暗号通貨npm JavaScriptライブラリであるxrpl.jsが、ユーザーのプライベートキーを収集し、流出させることを目的としたソフトウェアサプライチェーン攻撃の一環として、未知の脅威アクターによって侵害されました。
悪意のある活動は、パッケージの5つの異なるバージョンに影響を与えていることが判明しました:4.2.1、4.2.2、4.2.3、4.2.4、および2.14.2。この問題は、バージョン4.2.5および2.14.3で対処されています。
xrpl.jsは、Ripple Labsが2012年に立ち上げた暗号通貨プラットフォームであるRippleプロトコルとも呼ばれるXRP Ledgerブロックチェーンと対話するための人気のあるJavaScript APIです。このパッケージはこれまでに290万回以上ダウンロードされており、毎週135,000回以上のダウンロードを集めています。
“公式のXPRL(Ripple)NPMパッケージは、暗号通貨のプライベートキーを盗み、暗号通貨ウォレットにアクセスするためのバックドアを仕掛けた巧妙な攻撃者によって侵害されました”と、Aikido SecurityのCharlie Eriksenが述べました。
悪意のあるコードの変更は、2025年4月21日から「mukulljangid」という名前のユーザーによって導入されたことが判明しており、脅威アクターは盗まれた情報を外部ドメイン(「0x9c[.]xyz」)に送信するように設計された新しい関数checkValidityOfSeedを導入しました。
“mukulljangid”はおそらくRippleの従業員に属していると考えられ、彼らのnpmアカウントがサプライチェーン攻撃を実行するためにハッキングされたことを示しています。
攻撃者は、検出を回避しながらバックドアを忍び込ませるためにさまざまな方法を試みたとされており、短期間にリリースされた異なるバージョンがその証拠です。関連するGitHubリポジトリがバックドアを仕掛けられたという証拠はありません。
攻撃の背後に誰がいるのかは不明ですが、脅威アクターが開発者のnpmアクセス・トークンを盗んでライブラリを改ざんしたと考えられています。
この事件を受けて、xrpl.jsライブラリに依存しているユーザーは、潜在的な脅威を軽減するために、インスタンスを最新バージョン(4.2.5および2.14.3)に更新することが推奨されています。
“この脆弱性は、XRP Ledgerと対話するためのJavaScriptライブラリであるxrpl.jsにあります”と、XRP Ledger FoundationがXで述べました。”XRP LedgerのコードベースやGitHubリポジトリ自体には影響を与えません。xrpl.jsを使用しているプロジェクトは、直ちにv4.2.5にアップグレードする必要があります。”
更新#
xrpl.jsのサプライチェーンの侵害には、CVE識別子CVE-2025-32965(CVSSスコア:9.3)が割り当てられています。
“xrpl.jsのバージョン4.2.1、4.2.2、4.2.3、および4.2.4は侵害され、プライベートキーを流出させるように設計された悪意のあるコードが含まれていました”と、GitHubのアドバイザリーによると述べています。”これらのバージョンのいずれかを使用している場合は、直ちに使用を中止し、影響を受けたシステムで使用されているプライベートキーやシークレットを回転させてください。”
“バージョン2.14.2も悪意がありますが、他の2.xバージョンと互換性がないため、悪用される可能性は低いです。資金を安全に保つために、これらのサプライチェーン攻撃によってキーが侵害された可能性があるかどうかを慎重に考え、資金を安全なウォレットに送金する、またはキーを回転させることで軽減してください。”