Photo:Morrowind/Shutterstock
Une vulnérabilité au sein de l’écosystème du XRP Ledger (XRP) a récemment été découverte. La XRP Ledger Foundation a révélé qu’une bibliothèque JavaScript très utilisée et liée au réseau contenait une porte dérobée (« backdoor »).
Cette faille aurait permis à des individus malveillants d’accéder à des portefeuilles de cryptomonnaies. Le chercheur ayant découvert cette porte dérobée a d’ailleurs partagé plusieurs recommandations à destination des utilisateurs XRP susceptibles d’en avoir été victimes.
Une backdoor identifiée dans une bibliothèque JavaScript critique
Selon la XRP Ledger Foundation, la vulnérabilité a été repérée dans la bibliothèque xrpl.js, essentielle au bon fonctionnement de nombreuses applications interagissant avec le XRP Ledger.
Des développeurs ont découvert qu’une tierce partie non autorisée avait modifié une ancienne version de cette bibliothèque. Ce changement introduisait une porte dérobée, permettant le vol de clés privées des utilisateurs – ouvrant ainsi la voie à un accès complet à leurs fonds.
Cette ligne de code malveillante était particulièrement sournoise : elle n’était activée qu’après l’installation, ce qui signifie que les mécanismes de sécurité traditionnels pouvaient ne pas détecter l’infection initiale, laissant la backdoor invisible pendant un certain temps.
C’est la société spécialisée en cybersécurité blockchain Aikido Security qui a identifié l’attaque:
« Le 21 avril à 20h53 GMT+0, notre système Aikido Intel a commencé à nous alerter sur cinq nouvelles versions du paquet xrpl », a expliqué Aikido Security.
« Il s’agit du SDK officiel du XRP Ledger, avec plus de 140 000 téléchargements hebdomadaires. »
Une attaque potentiellement catastrophique
D’après Charlie Eriksen, chercheur chez Aikido Security, cette backdoor aurait pu déboucher sur une attaque de la chaîne d’approvisionnement potentiellement catastrophique pour l’écosystème crypto.
Ce type d’attaque ne cible pas directement une plateforme d’échange ou un utilisateur individuel, mais s’en prend aux maillons faibles des chaînes logicielles, comme les mises à jour. Par exemple, des cybercriminels peuvent diffuser une mise à jour piégée à des milliers d’utilisateurs, compromettant ainsi massivement la sécurité.
Bien que la backdoor ait depuis été supprimée, la XRP Ledger Foundation met en garde : toutes les applications s’appuyant sur d’anciennes versions de xrpl.js restent potentiellement exposées.
L’attaque semble avoir été limitée aux utilisateurs ayant mis à jour leur logiciel vers les versions malveillantes. De plus, la backdoor n’a été repérée que dans les versions diffusées via le gestionnaire de paquets Node (NPM).
Des services XRP majeurs se disent hors de danger
Plusieurs projets liés à XRP, comme Xaman Wallet ou XRPScan, ont indiqué que leurs services ne semblent pas affectés par cette attaque.
Eriksen a toutefois émis une mise en garde pour les utilisateurs inquiets :
« Si vous pensez avoir été touché, considérez que toute seed phrase ou clé privée ayant transité par le code compromis est probablement exposée.
Ces clés ne doivent plus être utilisées et les fonds associés doivent être transférés au plus vite vers un autre portefeuille ou une autre clé. »
L’essor de la criminalité crypto continue
L’émergence de nouvelles formes de criminalité crypto ne passe pas inaperçue. Pourtant, les chiffres réels sont encore plus alarmants qu’on ne l’imaginait, comme le montre un rapport de Chainalysis.
