リップル社の最高技術責任者(CTO)であるDavid Schwartz氏が、XRP Ledger(XRPL)開発者向けライブラリ「xrpl.js」の最近のバージョンの一部に、秘密鍵を盗む悪意のあるコードが含まれていたとして、SNSで「重大な警告」を発しました。
Critical warning for anyone using XRPL.js from NPM. https://t.co/3zV45jNT1t
— David “JoelKatz” Schwartz (@JoelKatz) April 22, 2025
現在は該当パッケージが削除され修正版が公開されていますが、影響を受けた可能性のある開発者には迅速な対応が求められています。この問題は、セキュリティ企業Aikido SecurityがAIを活用した脅威監視システムによって発見されました。
この悪意のあるコードが含まれたバージョンをインストールしてしまった開発者の暗号資産ウォレットは、秘密鍵が流出し、資産が危険に晒される可能性があります。Schwartz氏は、該当バージョンを利用した開発者に対し、自身の秘密鍵が盗まれたものとして扱い、関連する資産を直ちに別の安全なウォレットへ移動させるよう強く警告しています。
一方で、Xummのような広く利用されている一般的なXRPウォレットアプリのユーザーが、この問題によって直接影響を受ける可能性は低いとされています。
XRP Ledger(XRPL)のブロックチェーン自体はこのインシデントによる影響を受けておらず、現在も正常に稼働しています。Vadari氏によると、影響は悪意のあるバージョンにアップグレードしたサービスに限定され、GitHub上のコードは安全であるとのことです。
The XRP Ledger itself is unaffected by this. The malware packages only affect services that use xrpl.js and upgraded to the malicious versions that were published less than 24 hours ago. Github remains safe, only npm was compromised.
Please avoid using any services that have… https://t.co/ySWcl50Pmf
— Mayukha Vadari (@msvadari) April 22, 2025
今回のインシデントは、ソフトウェア開発におけるサプライチェーン攻撃のリスクを改めて示すものとなりました。XRPL自体は安全性が保たれていますが、開発者コミュニティは利用するライブラリのバージョン管理と安全性について常に注意を払う必要があります。
The post リップル(XRP)開発ライブラリに悪意コード混入|秘密鍵流出の危険性、CTOが警鐘 appeared first on CRYPTO TIMES
