Một hacker đã chèn một yêu cầu kéo độc hại vào một phần mở rộng mã cho các nhà phát triển Ethereum, theo các nhà nghiên cứu tại công ty an ninh mạng ReversingLabs.
Mã độc đã được chèn vào một bản cập nhật cho ETHcode, một bộ công cụ mã nguồn mở được các nhà phát triển Ethereum sử dụng để xây dựng và triển khai các hợp đồng thông minh và các ứng dụng phi tập trung (DAPPS) tương thích với Máy ảo Ethereum (EVM).
Một blog của ReversingLabs tiết lộ rằng hai dòng mã độc hại đã được giấu trong một yêu cầu kéo trên GitHub bao gồm 43 commit và 4.000 dòng được cập nhật, và chủ yếu liên quan đến việc thêm một khuôn khổ thử nghiệm và các khả năng mới.
Bản cập nhật được thêm vào GitHub vào ngày 17 tháng 6 bởi Airez299, một người dùng không có lịch sử trước đó.
Yêu cầu kéo đã được trình duyệt AI của GitHub và các thành viên của 7finney, nhóm chịu trách nhiệm tạo ra ETHcode, phân tích.
Chỉ có những thay đổi nhỏ được yêu cầu, và không có 7finney hay trình quét AI nào phát hiện ra điều gì đáng ngờ.
Airez299 đã có thể che giấu bản chất của dòng mã độc hại đầu tiên bằng cách đặt cho nó một tên tương tự như một tệp đã tồn tại, đồng thời che giấu và làm rối mã, khiến nó khó đọc hơn.
Dòng mã thứ hai có chức năng kích hoạt dòng đầu tiên, theo ReversingLabs, cuối cùng có mục đích tạo ra một chức năng tự động (Powershell) tải xuống và vận hành một tập lệnh batch từ một dịch vụ lưu trữ tệp công cộng.
ReversingLabs vẫn đang điều tra chính xác tập lệnh này làm gì, mặc dù đang hoạt động dựa trên giả định rằng nó "nhằm mục đích đánh cắp tài sản crypto được lưu trữ trên máy của nạn nhân hoặc, nếu không, xâm phạm các hợp đồng Ethereum đang được phát triển bởi những người dùng phần mở rộng".
Nói chuyện với Decrypt, tác giả blog Petar Kirhmajer cho biết ReversingLabs không có bất kỳ dấu hiệu hoặc bằng chứng nào cho thấy mã độc hại đã được sử dụng để đánh cắp token hoặc dữ liệu.
Tuy nhiên, Kirhmajer viết trong blog rằng ETHcode có 6.000 lượt cài đặt, và yêu cầu kéo - sẽ được triển khai như một phần của bản cập nhật tự động - có thể đã lan rộng "đến hàng ngàn hệ thống của nhà phát triển".
Điều này có khả năng gây lo ngại, và một số nhà phát triển cho rằng loại khai thác này xảy ra rất nhiều trong lĩnh vực crypto, bởi vì ngành này phụ thuộc rất nhiều vào phát triển mã nguồn mở.
Theo nhà phát triển Ethereum và đồng sáng lập NHÓM SỐ Zak Cole, nhiều nhà phát triển cài đặt các gói mã nguồn mở mà không kiểm tra chúng một cách thích đáng.
"Rất dễ để ai đó chèn thứ gì đó độc hại," anh nói với Decrypt. "Có thể là một gói npm, một tiện ích mở rộng trình duyệt, bất cứ thứ gì."
Các ví dụ nổi bật gần đây bao gồm vụ khai thác Ledger Connect Kit từ tháng 12 năm 2023, cũng như việc phát hiện mã độc trong thư viện web3.js mã nguồn mở của Solana vào tháng 12 năm ngoái.
"Có quá nhiều mã và không đủ mắt nhìn vào nó," Cole nói thêm. "Hầu hết mọi người chỉ giả định rằng mọi thứ an toàn vì nó phổ biến hoặc đã tồn tại một thời gian, nhưng điều đó không có nghĩa là gì cả."
Cole khẳng định rằng, mặc dù điều này không phải là mới, nhưng "bề mặt có thể tấn công đang lan rộng" bởi vì ngày càng nhiều nhà phát triển sử dụng các công cụ mã nguồn mở.
"Ngoài ra, hãy lưu ý rằng có toàn bộ các kho chứa đầy nhân viên CHDCND Triều Tiên mà công việc toàn thời gian của họ là thực hiện các khai thác này," anh nói.
Trong khi Cole cho rằng có lẽ có nhiều mã độc hại hơn mà nhiều nhà phát triển nhận thức, Kirhmajer nói với Decrypt rằng, theo ước tính của anh, "các nỗ lực thành công là rất hiếm".
Điều này dẫn đến câu hỏi về những gì các nhà phát triển có thể làm để giảm khả năng sử dụng mã bị xâm phạm, với ReversingLabs khuyến nghị họ xác minh danh tính và lịch sử của những người đóng góp trước khi tải xuống bất cứ thứ gì.
Công ty cũng đề xuất các nhà phát triển xem xét các tệp như package.json để đánh giá các phụ thuộc mới, điều mà Zak Cole cũng ủng hộ.
"Điều giúp ích là khóa các phụ thuộc của bạn để bạn không kéo thêm thứ gì đó ngẫu nhiên mỗi khi bạn xây dựng," anh nói.
Cole cũng khuyến nghị sử dụng các công cụ quét hành vi lạ hoặc những người duy trì đáng ngờ, đồng thời chú ý đến bất kỳ gói nào có thể đột ngột thay đổi chủ sở hữu hoặc cập nhật một cách bất ngờ.
"Ngoài ra, đừng chạy các công cụ ký hoặc ví trên cùng một máy mà bạn sử dụng để xây dựng các thứ," anh kết luận. "Chỉ coi như không có gì an toàn trừ khi bạn đã kiểm tra hoặc cách ly nó."
