La porte arrière pourrait voler des clés privées dans des portefeuilles

Aikido Security, une entreprise de cybersécurité qui enquête sur les vulnérabilités du code dans les réseaux de crypto-monnaie, a annoncé le 21 avril que XRPL contient une porte arrière qui envoie des clés privées aux attaquants virtuels. La vulnérabilité se trouve spécifiquement dans le package XRPL appelé NPM, une bibliothèque pour les développeurs d’applications.

Le package NPM XRPL est une bibliothèque JavaScript / TypeScript conçue pour interagir avec le réseau XRP Ledger (XRPL). Selon le site Web de cette bibliothèque de développeurs, le NPM est «l’option recommandée» pour intégrer des applications à XRPL, en particulier des solutions telles que les voies de paiement, les échanges décentralisés, les paramètres de compte et les signatures multiples, entre autres.

À l’heure actuelle, NPM est utilisé pour exécuter des fonctions aussi diverses dans le XRPL comme: Administration clé, fonds et création d’identification de test, en envoyant des transactions à la comptabilité XRP, entre autres.

Par conséquent, la vulnérabilité découverte par la sécurité de l’Aikido pourrait être étendu le long de nombreuses applications XRPLce qui représente un risque systémique.

Ce qui précède est particulièrement vrai car, selon la société de sécurité, NPM est “le SDK (kit de développement de logiciels) pour XRP Ledger, avec plus de 140 000 décharges hebdomadaires”. Ce chiffre de décharge hebdomadaire est confirmé par le site Web du NMP lui-même.

Le 21 avril à 20:53 GMT, notre système, Aikido Intel, nous a alertés de cinq nouvelles versions du package XRPL. Il s’agit du SDK officiel du Prix XRP, avec plus de 140 000 rejets hebdomadaires. Nous confirmons rapidement que le package officiel de NPM XPRL (Ripple) a été compromis par des attaquants sophistiqués qui ont installé une porte arrière pour voler des clés de crypto-monnaie privées et avoir accès aux portefeuilles de crypto-monnaie. Ce package est utilisé par des centaines de milliers d’applications et de sites Web, ce qui en fait une attaque potentiellement catastrophique de la chaîne d’approvisionnement de l’écosystème de la crypto-monnaie.

Aikido Security, une entreprise de cybersécurité.

La sécurité Aikido indique que les versions NPM affectées vont de 4.2.1 à 4.2.4, et recommande de ne pas mettre à jour le package de développement si vous utilisez une version antérieure de la bibliothèque.

Selon le cabinet, un utilisateur appelé «Mukulljangid» a publié cinq nouvelles versions de la bibliothèque NPM, mais ces versions ne correspondent pas aux versions officielles indiquées dans le référentiel GitHub, où la dernière version est 4.2.0. Pour Aikido, “Le fait que ces packages apparaissent sans une version correspondante dans Github est très suspect.”

De même, cette entreprise de sécurité a détecté dans les nouveaux packages, via sa solution de surveillance de code avec les lignes de programmation Intel So called, «Strange». Plus précisément, le OPCodes CheckValidityofed et le domaine 0x9c (.) XYZ.

Tout semble normal jusqu’à la fin. Quelle est cette fonction vérifie la valeur de la solution? Et pourquoi appelle un domaine aléatoire appelé 0x9c (.) Xyz? Allons au point!

Aikido Security, une entreprise de cybersécurité.

Selon Aikido, le domaine mentionné est suspecté, qui a en outre découvert que Une fonction de code qui est écrite comme «Builder public» (et volerait les clés de portefeuilles privés et xrpl.

Une enquête ultérieure de l’Aikido sur l’utilisateur qui met apparemment à jour la bibliothèque a révélé ce qui suit: «Les packages ont été implémentés par l’utilisateur Mukulljangid. Si nous recherchons ce nom d’utilisateur sur Google, nous obtenons un profil LinkedIn de qui semble être un employé légitime de ces nouveaux packages malveillants.

Les titres de compétences des employés internes d’organisations et d’entreprises Ils sont un vecteur d’attaque classique pour les pirates informatiques.

Comme l’a rapporté Cryptonotics, un rapport publié par le PDG de Bybit a souligné que le groupe Norcorea Lazarus aurait pu accéder au compte AWS S3, un service AWS (Amazon Web Services), en utilisant les informations d’identification d’un employé impliqué. Ce piratage a laissé des pertes d’échange pouvant atteindre 1,5 milliard de dollars.