XRPレジャーのJavaScriptライブラリに重大脆弱性、即時更新を推奨

XRPレジャー財団は21日に、レジャーとの対話用JavaScriptライブラリ「xrpl」パッケージの新バージョンにセキュリティの脆弱性が含まれていると発表した。脆弱性を発見したAikido SecurityのマルウェアリサーチャーCharlie Eriksen氏によると、サプライチェーン攻撃につながる恐れがあるという。

今回の問題についてリップル社のSchwarts CTOもAikidoの報告を引用し、「NPMからXRPL.jsを使用しているすべてのユーザーへの重要な警告である」と投稿した。

XRPレジャーのエンジニアチームは問題に対応するため、影響を受けたパッケージを上書きする更新版コードをリリースし、影響を受けるJavaScriptライブラリ（v4.2.1-4.2.4およびv2.14.2）を使用しているユーザーに即時更新を強く推奨している。財団は別の投稿で「この脆弱性はXRPレジャーとやり取りするためのJavaScriptライブラリxrpl.jsに存在するもので、XRPレジャーのコードベースやGithubリポジトリ自体には影響しない」と説明している。

Eriksen氏によると、XRPレジャーとのアプリケーション構築・連携に使用される開発キットの最近リリースされたバージョンにバックドアが挿入されたとのこと。この問題により悪意ある攻撃者がユーザーの秘密鍵を盗み、ウォレットへの不正アクセスを可能にする恐れがあるが、実際に被害を受けた人がいるかは不明だという。

一方、財団は「XamanWallet、xrpscan、First_Ledger、gen3gamesなどのプロジェクトが影響を受けていないことが確認されている」と述べている。

関連： 70件以上の仮想通貨ETF申請が米SEC新委員長の承認待ち、XRPやADA、トランプコインも含む