XRP Ledger官方NPM包遭攻击

安全公司Aikido近日发现，XRP Ledger官方NPM包（xrpl）的多个恶意版本（4.2.1-4.2.4及2.14.2）被植入后门代码，可窃取用户加密货币钱包私钥。这些版本在GitHub无对应发布，且包含异常函数checkValidityOfSeed，会向可疑域名（0x9cxyz）发送HTTP请求，疑似用于盗取敏感数据。该SDK每周下载量超14万次，影响范围广泛。研究人员建议用户立即升级至安全版本（4.2.5或2.14.3）。此次攻击凸显供应链风险，恶意包可能通过仿冒官方更新传播，开发者需谨慎验证依赖项来源。