В современном мире криптовалют безопасность становится одной из приоритетных задач для разработчиков и пользователей. Особое внимание следует уделять всему программному обеспечению, которое взаимодействует с цифровыми активами, особенно когда речь идет о популярных библиотеках, широко используемых в экосистемах блокчейнов. Недавний инцидент с компрометацией одной из основных JavaScript-библиотек для работы с XRP Ledger — xrpl.js — показал, насколько уязвима цепочка поставок программного обеспечения, что может привести к масштабным потерям средств пользователей. Библиотека xrpl.
js является официально рекомендованным Ripple инструментом для взаимодействия с блокчейном XRP и широко используется разработчиками по всему миру. Она поддерживает создание кошельков, проведение платежей и управление счетами в сети XRP. За прошлую неделю количество скачиваний этого пакета превысило 140 тысяч, что подтверждает его популярность и масштаб использования. Нежелательное внимание к xrpl.js привлекло внимание злоумышленников, которые сумели внести вредоносный код непосредственно в несколько версий пакета, опубликованных в популярном репозитории NPM.
Промежуток времени атаки был незаметен для многих пользователей, ведь обновления были размещены в промежутке с вечера 21 апреля 2025 года. Версии 2.14.2, 4.2.
1, 4.2.2, 4.2.3 и 4.
2.4 оказались заражены вредоносным функционалом, который был специально замаскирован под служебный метод под названием checkValidityOfSeed. Суть атаки заключалась в том, что функция checkValidityOfSeed принимала строку — потенциально представляющую криптографическую seed-фразу или приватный ключ — и отправляла её на сервер злоумышленников через скрытый HTTP POST-запрос. Для того чтобы обойти детектирование со стороны систем мониторинга сети и имитировать безобидный трафик, вредоносный код использовал заголовок пользовательского агента, имитирующий рекламу. Используя такие средства маскировки, вредоносное ПО позволило преступникам незаметно получать доступ к seed-фразам и приватным ключам XRP-кошельков, что даёт им возможность полностью контролировать средства на скомпрометированных счетах.
Такой целенаправленный и скрытый сбор конфиденциальных данных представляет огромную угрозу для пользователей, поскольку нарушает основные принципы безопасности криптовалют. Зафиксированное количество загрузок заражённых версий было относительно невелико — около 452 скачиваний за период атаки — однако, учитывая, что библиотека служит основой для множества проектов и приложений по работе с XRP, воздействие злоумышленников могло оказаться значительно шире, затрагивая тысячи и даже десятки тысяч криптокошельков. Проникновение вредоносного кода, по сути, могло произойти через скомпрометированные учётные данные разработчиков Ripple, которые имеют право публиковать обновления в NPM. Интересно отметить, что вредоносные изменения не были обнаружены в публичном репозитории на GitHub, что позволяет предположить, что атака произошла уже на этапе публикации пакета в регистраторе NPM, что является классическим примером атаки на цепочку поставок программного обеспечения. Реакция сообщества и официальных организаций не заставила себя ждать.
XRP Ledger Foundation незамедлительно выпустила безопасную версию пакета под номером 4.2.5 и настоятельно рекомендовала всем пользователям незамедлительно обновиться до этой версии. Кроме того, для владельцев кошельков, которые имели дело с заражёнными версиями, настоятельно советуется как можно скорее заменить свои приватные ключи и полностью обновить настройки безопасности аккаунтов. XRP Ledger предоставляет функционал для ротации ключей и отключения уязвимых мастер-ключей, что значительно снижает риски потенциальных краж средств.
Эксперты в области безопасности, в том числе компания Aikido и специалисты из BleepingComputer, детально проанализировали вредоносный код и подтвердили тот факт, что функция checkValidityOfSeed была внедрена в разные части библиотеки, чтобы максимально захватить чувствительную информацию. Уровень инсайдерской компрометации и возможное использование служебных привилегий демонстрируют повышенную сложность атак на проекты с глобальным охватом. Этот инцидент является частью более широкой тенденции роста атак на цепочки поставок в криптовалютной индустрии. За последние годы уже были зафиксированы случаи компрометации популярных пакетов NPM, направленных на кражу seed-фраз и приватных ключей пользователей Ethereum и Solana, что позволяет говорить о целенаправленной системе взлома инструментов взаимодействия с блокчейнами с целью хищения цифровых активов. Для разработчиков и пользователей, работающих с криптовалютами, подобные инциденты — это серьезный сигнал к тому, чтобы активно заниматься проверкой безопасности используемых компонентов и внедрять многоуровневую защиту.
Важно также отслеживать официальные каналы обновлений и предупреждений, а при малейших подозрениях на компрометацию незамедлительно предпринимать меры по перенастройке безопасности. В отличие от многих традиционных биржевых или кошельковых взломов, атака на библиотеку xrpl.js повлияла на более глубокий уровень инфраструктуры, которая используется множеством децентрализованных приложений и сервисов, взаимодействующих с XRP Ledger. Это подчеркивает важность институциональных усилий по обеспечению безопасности цепочек поставок программного обеспечения в криптопространстве. Несмотря на то, что исходный код XRP Ledger и его репозиторий на GitHub не пострадали и остались неприкосновенными, уязвимость в экосистемных инструментах вызывает вопросы о необходимости усиления контроля над процессом публикации и распространения библиотек в памяти NPM и других менеджеров пакетов.
Пользователям рекомендуется следить за объявлениями от XRPL Foundation и оперативно реагировать на появление обновлений, а также использовать фичи, предоставляемые Ledger для ограничения доступа посторонних к счету, включая технику отключения мастер-ключей и ротацию ключей. Это позволит минимизировать ущерб в случае компрометации. Данный случай также служит напоминанием о том, что, несмотря на децентрализованный характер криптовалют, центр ответственности и контроля за безопасностью лежит на каждом элементе цепочки — от разработчиков и обслуживающих сервисов до конечных пользователей. Внимание к мелочам, своевременность обновлений и повышение уровня осведомленности помогут предотвратить потери и сохранить доверие к экосистемам криптовалют. Отдельное внимание стоит уделить новым подходам к разработке безопасного программного обеспечения, включая внедрение методов автоматизированного аудита кода, использование технологий непрерывного мониторинга и применения криптографически проверяемых цепочек поставок.
Это поможет снизить риски похожих атак в будущем и повысить общий уровень защиты цифровых активов. Таким образом, компрометация библиотеки xrpl.js — тревожный сигнал для всего криптосообщества и очередной урок по безопасности. Только объединённые усилия разработчиков, пользователей и инфраструктурных организаций помогут создать устойчивую и надежную среду для развития XRP Ledger и других блокчейнов в условиях растущих угроз киберпреступников.
