In de officiële NPM package van XRP Ledger, die bijna 144.000 downloads per week telt, is een backdoor aangetroffen die private keys steelt om zo cryptovaluta te stelen. De XRP Ledger Foundation heeft gebruikers opgeroepen om meteen de laatste versie te downloaden, die de besmette versies vervangt. Via de NPM Package is het mogelijk om een 'XRP Ledger-connected' applicatie in JavaScript te ontwikkelen. Het wordt op grote schaal gebruikt door apps en websites.

Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. Aanvallers zijn erin geslaagd om vijf nieuwe packages van XRP Ledger te publiceren. Deze packages waren voorzien van een backdoor die private keys steelt om zo toegang tot cryptowallets van gebruikers te krijgen, aldus onderzoekers van securitybedrijf Aikido.

"Deze package wordt door honderdduizenden applicaties en websites gebruikt, wat het een potentieel catastrofale suuplychain-aanval op het cryptovaluta-ecosysteem maakt", aldus onderzoekers. De besmette packages zijn te herkennen aan versienummers 4.2.4, 2.14.2, 4.2.3, 4.2.2 en 4.2.1. Gebruikers worden opgeroepen om direct naar versie 4.2.5 te updaten, die volgens de XRP Ledger Foundation schoon is. Hoe de aanvallers erin zijn geslaagd om malafide versies met een backdoor te publiceren is nog niet bekendgemaakt. De ontwikkelaars zeggen met een gedetailleerde post-mortem te zullen komen.