La Biblioteca JavaScript de criptomonedas Ripple NPM llamada XRPL.JS ha sido comprometida por los actores de amenaza desconocidos como parte de un ataque de cadena de suministro de software diseñado para cosechar y exfiltrar las claves privadas de los usuarios.
Se ha encontrado que la actividad maliciosa afecta cinco versiones diferentes del paquete: 4.2.1, 4.2.2, 4.2.3, 4.2.4 y 2.14.2. El problema se ha abordado en las versiones 4.2.5 y 2.14.3.
XRPL.JS es una popular API de JavaScript para interactuar con la cadena de bloques Ledger XRP, también llamada Ripple Protocol, una plataforma de criptomonedas lanzada por Ripple Labs en 2012. El paquete se ha descargado más de 2.9 millones de veces hasta la fecha, atrayendo más de 135,000 descargas semanales.
“El paquete oficial de NPM XPRL (Ripple) fue comprometido por atacantes sofisticados que pusieron una puerta trasera para robar claves privadas de criptomonedas y obtener acceso a las billeteras de criptomonedas”, dijo Charlie Eriksen de Aikido Security.
Se ha encontrado que los cambios en el código malicioso son introducidos por un usuario llamado “Mukulljangid” a partir del 21 de abril de 2025, con los actores de amenaza que introducen una nueva función llamada CheckvalidityOf Sseed que está diseñada para transmitir la información robada a un dominio externo (“0x9c (.) XYZ”).
Vale la pena señalar que “Mukulljangid” probablemente pertenece a un empleado de Ripple, lo que indica que su cuenta de NPM fue pirateada para lograr el ataque de la cadena de suministro.
Se dice que el atacante ha intentado diferentes formas de colarse en la puerta trasera mientras intenta evadir la detección, como lo demuestran las diferentes versiones lanzadas en un corto período de tiempo. No hay evidencia de que el repositorio de GitHub asociado haya sido trasero.
No está claro quién está detrás del ataque, pero se cree que los actores de la amenaza lograron robar el token de acceso NPM del desarrollador para manipular la biblioteca, según Aikido.
A la luz del incidente, se aconseja a los usuarios que confían en la biblioteca XRPL.JS que actualicen sus instancias a la última versión (4.2.5 y 2.14.3) para mitigar posibles amenazas.
“Esta vulnerabilidad se encuentra en XRPL.JS, una biblioteca de JavaScript para interactuar con el Ledger XRP”, dijo la Fundación Ledger XRP en una publicación en X. “No afecta la base de código Libdor XRP o el apositorio de GitHub.
