Ripple官方加密库xrpl.js遭供应链攻击

据报道，4月21日，Ripple官方JavaScript库xrpl.js遭供应链攻击，恶意版本（4.2.1-4.2.4及2.14.2）被植入窃取加密货币私钥的后门代码，攻击者可借此大规模窃取加密资产。该库每周下载量超14万次，累计下载量达290万次，广泛用于XRP生态应用。安全公司Aikido Intel监测到，攻击者通过用户 "mukulljangid "发布恶意更新，利用函数checkValidityOfSeed将私钥泄露至外部域名。攻击手法持续升级，从删除配置到植入TypeScript后门，以规避检测。目前漏洞已在4.2.5和2.14.3版本修复。