一场针对加密货币用户的重大供应链攻击事件发生了。XRP Ledger 的 JavaScript SDK 的官方 XRPL NPM 包遭到了恶意代码的篡改，这些恶意代码旨在窃取加密货币的私钥，有可能影响到成千上万的应用程序。

2025 年 4 月 21 日格林尼治标准时间 20 点 53 分，Aikido Intel 的安全监控系统检测到 xrpl 库出现了五个不同寻常的新软件包版本，该库平均每周的下载量超过 14 万次。

进一步的调查证实，这些版本包含了能够窃取加密货币私钥并获取对用户数字钱包未经授权访问权限的后门代码。

Aikido Intel 的恶意软件研究员 Charlie Eriksen 警告称：“有成千上万的应用程序和网站在使用这个软件包，这对加密货币生态系统来说可能是一场灾难性的供应链攻击。”

安全团队很快确定，一个名为 “mukulljangid” 的用户发布了这些可疑的软件包版本。据信这个账户属于一名 Ripple 的员工，其账号凭证已被泄露。

恶意版本 ——4.2.1、4.2.2、4.2.3、4.2.4 和 2.14.2—— 与该项目在 GitHub 代码库上的任何官方版本都不相符，这立即引起了警惕。

技术分析显示，该软件包中嵌入了一个可疑函数。这个函数的设计目的是将私钥信息发送到一个仅在 2025 年 1 月注册的外部域名 ——0x9c [.] xyz.checkValidityOfSeed。

当用户创建新钱包或与现有钱包进行交互时，恶意代码就会被激活，将敏感的加密信息发送给攻击者。

Eriksen 解释说：“攻击者一直在积极尝试不同的方法来插入后门，同时尽可能地隐藏自己。从手动将后门插入已构建的 JavaScript 代码中，到将其放入 TypeScript 代码中，然后再编译成已构建的版本。”

XRP Ledger Foundation 已确认，该漏洞仅影响 xrpl.js 库，而不影响 XRP 账本的代码库或 GitHub 代码库本身。

为应对这一发现，版本4.2.5 和 2.14.3迅速发布，以替换被篡改的软件包。

安全专家估计，在被检测到并移除之前，恶意软件包版本大约被下载了 450 次。

强烈敦促在 4 月 21 日至 4 月 22 日期间可能安装了任何被篡改软件包的用户检查其网络日志中是否有与可疑域名的出站连接。

这一事件凸显了针对加密货币基础设施的软件供应链攻击日益增长的威胁。过去也曾发生过类似事件，包括 2021 年 UAParser.js 被篡改事件，那次事件影响了一个每周下载量达数百万次的软件包。

建议使用 XRP 的机构和开发人员立即更新到最新的软件包版本，并假定任何由被篡改版本处理过的种子密钥或私钥都已被泄露。

金融机构和加密货币服务提供商也应该对其依赖的软件进行全面的安全审计，以确保它们没有受到此次或类似的供应链攻击的影响。