Il pacchetto JavaScript npm di Ripple, noto come xrpl.js, ha subito una compromissione da parte di attori malevoli nell'ambito di un attacco alla catena di fornitura software, mirato a raccogliere ed esfiltrare le chiavi private degli utenti. L'attività malevola ha interessato cinque diverse versioni del pacchetto: 4.2.1, 4.2.2, 4.2.3, 4.2.4 e 2.14.2. Il problema è stato risolto nelle versioni 4.2.5 e 2.14.3.

xrpl.js è una API JavaScript popolare per interagire con il libro mastro XRP, noto anche come Ripple Protocol, una piattaforma di criptovaluta lanciata da Ripple Labs nel 2012. Il pacchetto è stato scaricato oltre 2.9 milioni di volte, con più di 135.000 download settimanali. Secondo Charlie Eriksen di Aikido Security, l'NPM ufficiale di XPRL (Ripple) è stato compromesso da attori sofisticati che hanno inserito una backdoor per rubare le chiavi private delle criptovalute e accedere ai portafogli.

Attacco alla catena di fornitura

Le modifiche al codice malevolo sono state introdotte da un utente chiamato "mukulljangid" a partire dal 21 aprile 2025. Gli aggressori hanno introdotto una nuova funzione chiamata checkValidityOfSeed progettata per trasmettere le informazioni rubate a un dominio esterno ("0x9c[.]xyz"). "mukulljangid" probabilmente appartiene a un dipendente di Ripple, il che indica che il suo account npm è stato violato per eseguire l'attacco alla catena di fornitura.

Non è chiaro chi sia dietro l'attacco, ma si ritiene che gli aggressori siano riusciti a rubare il token di accesso npm dello sviluppatore per manomettere la libreria. Gli utenti che fanno affidamento sulla libreria xrpl.js sono invitati ad aggiornare le loro istanze all'ultima versione per mitigare le minacce potenziali.

Vulnerabilità

Questa vulnerabilità, identificata con il codice CVE-2025-32965 (punteggio CVSS: 9.3), è stata trovata nelle versioni 4.2.1, 4.2.2, 4.2.3 e 4.2.4 di xrpl.js, compromesse e contenenti codice malevolo pensato per esfiltrare le chiavi private. Se si utilizzano una di queste versioni, è consigliabile interrompere immediatamente l'uso e ruotare qualsiasi chiave privata o segreto utilizzato con i sistemi interessati. Anche la versione 2.14.2 è malevola, sebbene sia meno probabile che porti a un'esploitazione poiché non è compatibile con altre versioni 2.x.