XRP台帳はXRPL.JS JavaScriptライブラリを含む主要なセキュリティ侵害に直面しました

最近、XRPはXRP LedgerのJavaScriptライブラリの1つを含む主要なセキュリティ侵害に直面しました。 Xrpl.jsという名前のRipple NPM JavaScriptライブラリが侵害されました

Recently, a major cryptocurrency project was hit by a nasty case of code corruption, affecting a key JavaScript library used by many to connect with the blockchain.

最近、主要な暗号通貨プロジェクトがコード腐敗の厄介なケースに見舞われ、多くの人がブロックチェーンに接続するために使用される重要なJavaScriptライブラリに影響を与えました。

This is what happened:

これが起こったことです：

One of the npm JavaScript libraries used by Ripple was compromised in a software supply chain attack. The issue was flagged by Aikido Security and later confirmed by Ripple CTO David Schwartz.

Rippleが使用するNPM JavaScriptライブラリの1つは、ソフトウェアサプライチェーン攻撃で侵害されました。この問題は合気道のセキュリティによってフラグを立て、後にRipple CTO David Schwartzによって確認されました。

The issue affects specific versions of the Node Package Manager (NPM) library, but major XRP services like Xaman Wallet and XRPScan were not impacted.

この問題は、ノードパッケージマネージャー（NPM）ライブラリの特定のバージョンに影響しますが、Xaman WalletやXRPSCANなどの主要なXRPサービスは影響を受けませんでした。

It was discovered that versions 4.2.1, 4.2.2, 4.2.3, 4.2.4, and 2.14.2 of the Ripple npm JavaScript library, named xrpl.js, were compromised in a software supply chain attack.

Xrpl.jsという名前のRipple NPM JavaScriptライブラリの4.2.1、4.2.2、4.2.3、4.2.4、および2.14.2のバージョンがソフトウェアサプライチェーン攻撃で危険にさらされたことが発見されました。

The vulnerability was patched in newer versions 4.2.5 and 2.14.3.

脆弱性は、新しいバージョン4.2.5および2.14.3でパッチされました。

The incident began when a user named "mukulljangid" started injecting malicious code into the xrpl.js package from April 21, 2025.

この事件は、「Mukulljangid」という名前のユーザーが、2025年4月21日からXrpl.jsパッケージに悪意のあるコードを注入し始めたときに始まりました。

Later, the attacker introduced a new function to steal private keys and send them to an external domain. It is assumed that the attacker gained access through a compromised Ripple employee’s npm account.

その後、攻撃者は、プライベートキーを盗み、外部ドメインに送信するための新しい機能を導入しました。攻撃者は、侵害されたリップル従業員のNPMアカウントを通じてアクセスを獲得したと想定されています。

Moreover, the attacker quickly deployed multiple versions to avoid detection, but there is no sign of a backdoor in the GitHub repository.

さらに、攻撃者は検出を避けるために複数のバージョンを迅速に展開しましたが、GitHubリポジトリにバックドアの兆候はありません。

The XRP Ledger foundation also issued a statement, confirming that the compromised versions of xrpl.js have been removed. They advised developers to use versions 4.2.5 or 2.14.3. A full report will follow.

XRP Ledger Foundationも声明を発表し、XRPL.JSの侵害されたバージョンが削除されたことを確認しました。彼らは、開発者にバージョン4.2.5または2.14.3を使用するようにアドバイスしました。完全なレポートが続きます。

This vulnerability is in xrpl.js, a JavaScript library for interacting with the XRP Ledger. It does NOT affect the XRP Ledger codebase or Github repository itself. Projects using xrpl.js should upgrade to v4.2.5 immediately.

この脆弱性は、XRP台帳と対話するためのJavaScriptライブラリであるXrpl.jsにあります。 XRP Ledger CodeBaseまたはGitHubリポジトリ自体には影響しません。 XRPL.jsを使用したプロジェクトは、すぐにV4.2.5にアップグレードする必要があります。

We are aware that specific versions of the Node Package Manager (NPM) library are affected, but major XRP services like Xaman Wallet and XRPScan are not impacted.

Node Package Manager（NPM）ライブラリの特定のバージョンが影響を受けていることを認識していますが、Xaman WalletやXRPSCANなどの主要なXRPサービスは影響を受けません。

This incident has once again raised concerns over software security, especially in the cryptocurrency sector where customer support and large sums of money are at stake.

この事件は、特に顧客サポートと多額の資金がかかっている暗号通貨セクターで、ソフトウェアのセキュリティに対する懸念を再び提起しました。