¿Estás utilizando la biblioteca "xrpl.js"? Bueno, parece que tienes grandes problemas.

La amenaza a nivel de la cadena de suministro de software vuelve a manifestarse: la biblioteca recomendada por Ripple «xrpl.js» para trabajar con la cadena de bloques XRP mediante JavaScript fue comprometida. El código malicioso fue introducido a través de actualizaciones oficiales en NPM, permitiendo a los atacantes robar frases semilla y claves privadas de monederos de criptomonedas.

El problema afectó a las versiones 2.14.2, 4.2.1, 4.2.2, 4.2.3 y 4.2.4, publicadas el 21 de abril entre las 16:46 y las 17:49 (hora del este de EE. UU.). Aunque el número total de descargas fue solo de 452, el alcance del riesgo es mucho mayor: solo en la última semana la biblioteca se descargó más de 140 mil veces, lo que significa que podría haberse utilizado para gestionar numerosos monederos.

El análisis mostró que se agregó una nueva función al archivo «/src/index.ts» llamada checkValidityOfSeed. A primera vista parecía una simple verificación de datos, pero en realidad enviaba claves privadas, mnemónicos y frases semilla mediante una solicitud HTTP POST a un dominio controlado por los atacantes. Para camuflar el tráfico, se utilizó una cabecera con un User-Agent falso «ad-refferal», simulando tráfico publicitario.

La investigación de la empresa Aikido confirmó que el método malicioso era invocado desde diferentes partes del código, facilitando así una fuga masiva de información confidencial sin que los desarrolladores lo supieran. Estos datos permitían a los atacantes cargar los monederos en sus propios dispositivos y vaciarlos instantáneamente.

La compromisión afectó únicamente a las versiones publicadas en NPM —no se encontraron rastros de commits maliciosos en el repositorio de GitHub. Esto indica que la inyección se produjo en la fase de publicación o mediante credenciales robadas de un desarrollador vinculado a Ripple. Este tipo de ataque es un ejemplo típico de compromiso de la cadena de suministro de software, similar a incidentes recientes con bibliotecas de Ethereum y Solana.

Por el momento, todas las versiones comprometidas han sido eliminadas de NPM, y ya está disponible una versión segura numerada 4.2.5 para su instalación. La organización que mantiene la biblioteca, XRP Ledger Foundation, recomienda encarecidamente a todos los usuarios actualizar de inmediato a la nueva versión, cambiar urgentemente sus claves privadas y desactivar las claves maestras si existe la posibilidad de compromiso. Las instrucciones detalladas para estos pasos están publicadas en la documentación oficial de XRPL.

Lo sucedido es otro recordatorio de cuán vulnerables pueden ser incluso las herramientas open source más populares y ampliamente utilizadas. Cualquier actualización, incluso publicada a través de un canal oficial, puede convertirse en un vector de ataque si se pierde el control de la cuenta del desarrollador.