- Backdoor dalam paket NPM XRPL.js mengekspos kunci pribadi dalam versi 4.2.1 hingga 4.2.4
- Hanya distribusi NPM yang disusupi, repositori GitHub tetap tidak terpengaruh
- Versi 4.2.5 dirilis dengan cepat untuk menambal kerentanan dan mengamankan lingkungan pengembang
Pelanggaran keamanan kritis telah mengguncang komunitas pengembangan XRP menyusul penemuan backdoor di paket XRPL.js versi 4.2.1 hingga 4.2.4 di NPM. Kode berbahaya, yang ada dalam versi 4.2.1 hingga 4.2.4, mampu mencuri kunci pribadi pengguna dan mengirimkannya ke penyerang.
Hal ini mendorong Chief Technology Officer Ripple, David Schwartz, untuk mengeluarkan peringatan publik. Pengembang yang menggunakan versi yang disusupi ini sangat disarankan untuk memperlakukan kredensial yang terekspos sebagai disusupi.
Pelanggaran Terbatas untuk NPM; Brankas Buku Besar Inti
Pelanggaran tersebut, yang pertama kali dilaporkan oleh Aikido Security, mengungkapkan distribusi NPM XRPL.js diubah dengan kode pencurian kunci; repositori GitHub tidak terpengaruh. Ini menunjukkan hanya saluran NPM yang disusupi.
Terkait: Stablecoin RLUSD Ripple Ditayangkan untuk Pinjaman, Meminjam di Aave V3
Akibatnya, pengembang yang menggunakan sumber tepercaya seperti GitHub tetap tidak terpengaruh. Insinyur senior RippleX, Mayukha Vadari, mengkonfirmasi inti XRP Ledger masih aman dan beroperasi secara normal.
Perbaikan Cepat Dikeluarkan, Ekosistem Merespons
Dalam waktu kurang dari 24 jam, versi berbahaya dihapus dari NPM. Versi aman, 4.2.5, sekarang telah diterbitkan sebagai perbaikan. Selain itu, pengguna yang beroperasi di cabang 2.x dapat menggunakan versi 2.14.3 dengan aman. Tindakan cepat oleh XRP Ledger Foundation dan tim pengembangan Ripple yang lebih luas membantu menahan apa yang bisa menjadi ancaman yang meluas.
Terkait: Impian Daftar Publik Ripple Bergantung pada Keputusan Penjualan Satu Juri
Eksploitasi tersebut menimbulkan kekhawatiran di seluruh komunitas pengembang blockchain, terutama layanan yang mengintegrasikan XRPL.js. Penyedia dompet Xaman, First Ledger, dan Gen3Games mengumumkan bahwa mereka tidak dikompromikan. XRP Ledger Foundation juga menghapus paket berbahaya.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
