通过 checkValidityOfSeed 函数窃取数据 威胁者可以操作这些信息在本身的设备上导入被盗的 XRP 钱包。

被入侵窃取 Ripple 钱包种子和私钥，这表白攻击可能发生在 NPM 发布过程中，请立即停止并旋转与受影响系统的任何私钥或奥秘，用于窃取 XRP 钱包的种子、私钥和助记符。

恶意代码似乎是由与 Ripple 组织相关的开发人员帐户添加的，此功能接受字符串作为参数。

所有用户都应该立即升级到这个版本，是 Ripple 币通过 JavaScript 与 Ripple 币区块链交互的推荐库， 目前已经确定。

以提取其中的任何资金。

如果用户使用其中一个版本，使用 xrpl.js 的项目应该立即升级到 v4.2.5，可能是通过受损的凭证添加的，。

从而试图变得隐秘，如果任何帐户的主密钥可能被妥协，它不会影响 XRP 账本代码库或 Github 存储库自己， 开发商还证实，它已经被广泛接纳，然后通过 http Post 请求转发给 https：// 0x9c [ ，" 开发人员称，在过去的一周内下载量凌驾 14 万次，XRP 账本代码库或 GitHub 存储库没有受到影响，并将其转移到攻击者控制的处事器上，威胁者可以在其中收集它。

，Xaman 钱包、XRPScan、First Ledger 和 Gen3 Games 项目没有受到供应链攻击的影响。

恶意代码被添加到 xrpl NPM 包的 2.14.2、4.2.1、4.2.2、4.2.3 和 4.2.4 版本中。

并于下午时间 4:46 到 5:49 之间发布到 NPM 注册表中，Ripple 推荐加密货币 NPM JavaScript 库名为 "xrpl.js"，总共有 452 次下载， 近期，此刻有一个干净的 4.2.5 版本。

但这个库可能被用来打点和连接更多的 XRP 钱包，BTC钱包，则应将其禁用：https：//xrpl.org/docs/tutorials/how-tos/manage-manage-account-settings/disable-master-key-pair，恶意提交没有呈此刻公共 GitHub 存储库中，checkValidityOfSeed（）函数在各种函数中被调用，答允威胁者窃取存储在钱包中的所有资金，USDT钱包， xrpl.js 库由 Ripple 币账本基金会（XRPLF）维护。

由于它是与 XRP 区块链交互的推荐库， 恶意代码插入到 xrpl.js NPM 库中 按照开发安详公司 Aikido 的说法，受传染的版本是在差异时间上传的，该代码试图通过使用 " AD-REFFERAL" 用户代理使其看起来像网络流量监视系统的广告请求，这是一个用于与 XRP 账本交互的 JavaScript 库，" 澄清一下：这个漏洞存在于 xrpl.js 中，XRP Ledger 支持钥匙旋转：https：//xrpl.org/docs/tutorials/how-tos/how-tos/manage-manage-acccount-account-settings/assign-a-a-a-regular-regular-key-pair-，名为 CheckValitysofdeed 将附加到折衷版本中的 " /src/index.ts " 文件的末尾进行了修改，虽然总下载量并不大，它支持钱包操纵、XRP 转账和其他分类账功能。

"XRP 账本基金会在 X 上发布。

这些被破坏的版本已经被删除， ] xyz/xcm， NPM 库通过可疑方法进行了修改，这种供应链攻击类似于之前以太坊和索拉纳 npm 用于窃取钱包种子和私钥的攻击。