XRPレジャー財団がJavaScriptライブラリ「xrpl.js」の脆弱性を公表
XRPレジャー財団(XRP Ledger Foundation)が、XRPレジャーと対話するためのJavaScriptライブラリ「xrpl.js」の「v4.2.1-4.2.4」および「v2.14.2」に重大な脆弱性が発見されたことを4月23日に発表した。
この脆弱性は、アイキドーセキュリティ(Aikido Security)社のマルウェア研究者チャーリー・エリクセン(Charlie Eriksen)氏によって発見された。同氏はこの「バックドア」が「潜在的に壊滅的な」サプライチェーン攻撃につながる可能性があると指摘している。
この脆弱性はJavaScriptライブラリ「xrpl.js」にのみ影響し、XRPレジャーのコードベースやGitHubリポジトリ自体には影響しないと、XRPレジャー財団は説明している。同財団は、アプリケーション開発者には直ちに「v4.2.5」または「v2.14.3」へのアップグレードを推奨している。
エリクセン氏によると、この脆弱性はアプリケーション構築やXRPレジャーとの対話に使用されるソフトウェア開発キットの最近リリースされたバージョンに「バックドア」が挿入されたことが原因とのことだ。これにより、悪意ある攻撃者がユーザーの秘密鍵を盗み、ウォレットへの不正アクセスを得る可能性がある。
この潜在的な攻撃は、短期間内に悪意のあるバージョンにアップデートしたサードパーティサービスに限定されるとのこと。また、この「バックドア」はNode Package Manager(NPM)上のコードバージョンのみに影響しているようだ。
XRPレジャー財団は、影響を受けたパッケージをnpmで非推奨としており、詳細な事後分析を近日中に共有する予定とのことだ。また、XamanウォレットやXRPScanなど複数のXRP関連プロジェクトが影響を受けていないことを確認している。
エリクセン氏は、影響を受けた可能性がある場合、コードによって処理された任意のシードや秘密鍵が漏洩した可能性があると仮定することが重要だと述べ、それらの鍵は使用を中止し、関連する資産を別のウォレット/鍵に直ちに移動するよう勧告している。
なお、XRPレジャーは10年以上前にリップルラボ(Ripple Labs)によって立ち上げられた、クロスボーダー決済とトークン化のためのブロックチェーンである。
Earlier today, a security researcher from @AikidoSecurity identified a serious vulnerability in the xrpl npm package (v4.2.1-4.2.4 and v2.14.2).
— XRP Ledger Foundation (Official) (@XRPLF) April 22, 2025
We are aware of the issue and are actively working on a fix.
A detailed post-mortem will follow.
画像:PIXTA