Ataque à cadeia de suprimentos compromete pacote “xrpl” do NPM para roubo de moedas digitais

O pacote xrpl, SDK oficial do XRP Ledger — uma blockchain pública, descentralizada e de código aberto —, foi alvo de um ataque à cadeia de suprimentos. A biblioteca, que contabiliza mais de 140 mil downloads semanais e é amplamente utilizada por aplicativos e sites em todo o mundo, teve versões comprometidas publicadas no NPM no dia 21 de abril.

O usuário identificado como “mukulljangid” divulgou cinco versões maliciosas: 4.2.4, 4.2.3, 4.2.2, 4.2.1 e 2.14.2. Nenhuma delas corresponde aos lançamentos oficiais registrados no repositório do GitHub, onde a última versão legítima até então era a 4.2.0. O código adicionado nessas versões foi projetado para roubar chaves privadas de carteiras de moedas digitais.

Recomenda-se verificar imediatamente qual versão do pacote está instalada no ambiente. Caso seja identificada uma das versões comprometidas, é seguro presumir que todas as chaves privadas ou seeds manipuladas tenham sido expostas. A orientação é que essas chaves não sejam mais utilizadas e que os fundos sejam transferidos o quanto antes para uma nova carteira.

Após a descoberta do ataque, a equipe do xrpl publicou as versões legítimas 4.2.5 e 2.14.3, que sobrescrevem as variantes maliciosas.