کتابخانهی xrpl.js یک ابزار متنباز است که در بسیاری از پروژههای مبتنی بر XRP، از جمله کیف پولهای رمزارز، صرافیها و برنامههای غیرمتمرکز، کاربرد گستردهای دارد. این کتابخانه توسعهدهندگان را قادر میسازد تا بهسادگی کیف پول ایجاد کنند، تراکنشها را امضا و ارسال نمایند، موجودی حسابها را بررسی کرده و خدمات مالی مبتنی بر بلاکچین را طراحی کنند.
در یکی از حملات زنجیرهی تأمین، نسخههای رسمی این کتابخانه مورد نفوذ قرار گرفته و به بدافزار آلوده شدهاند. این آسیبپذیری با شناسهی CVE-2025-32965 و شدت 9.3 در تاریخ 22 آوریل 2025 شناسایی گردید که منجر به سرقت کلیدهای خصوصی کاربران و توسعهدهندگان میشد.
جزئیات آسیبپذیری
نسخههای خاصی از کتابخانهی رسمی xrpl.js در مخزن NPM با هدف استخراج و ارسال کلیدهای خصوصی کاربران، بهطور پنهانی به کد مخرب آلوده شده بودند.
این حمله از نوع زنجیرهی تأمین با قابلیت سرقت مخفیانهی کلیدهای خصوصی کاربران است که امنیت میلیونها کیف پول ارز دیجیتال مبتنی بر شبکه XRP را در معرض تهدید قرار داده است.
از آنجا که این آسیبپذیری منجر به سرقت داراییهای دیجیتال کاربران میشود، ریسک مستقیم مالی آن بسیار بالا است.
بردار CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N نشان میدهد مهاجم میتواند بدون نیاز به هیچگونه تعامل با کاربر و احراز هویت، تنها از طریق اینترنت به هدف حمله کند.
با وجود ساده بودن بهرهبرداری، خطرات ناشی از آن میتواند منجر به سرقت کلیدهای خصوصی و داراییهای مالی دیجیتال کاربران شود.
نسخههای تحت تأثیر
- نسخههای 4.2.1، 4.2.2، 4.2.3، 4.2.4، 2.14.2 شامل کد مخرب هستند.
توصیههای امنیتی
- ارتقا به نسخههای سالم 4.2.5 یا 2.14.3
- انتقال موجودیها به کیف پولهای امن
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-32965
[2]https://github.com/XRPLF/xrpl.js/security/advisories/GHSA-33qr-m49q-rxfx
- 36