一名黑客将恶意拉取请求插入到一个面向以太坊开发者的代码扩展中,根据网络安全公司ReversingLabs的研究人员称。
这段恶意代码被插入到ETHcode的一个更新中,这是一个开源工具套件,以太坊开发者用它来构建和部署兼容EVM的智能合约和去中心化应用。
ReversingLabs的博客揭示,两行恶意代码被隐藏在一个包含43个提交和4,000行更新的GitHub拉取请求中,该请求主要关注添加新的测试框架和功能。
这个更新于6月17日由没有prior历史的用户Airez299添加到GitHub上。
这个拉取请求被GitHub的AI审查员和7finney团队成员分析。
只要求了微小的更改,7finney和AI扫描器都没有发现任何可疑之处。
Airez299通过给第一行恶意代码起一个与现有文件相似的名称,并混淆和重组代码本身,使其更难阅读。
第二行代码的功能是激活第一行,根据ReversingLabs的说法,最终目的是创建一个自动化功能(Powershell),从公共文件托管服务下载和操作批处理脚本。
ReversingLabs仍在调查这个脚本具体做什么,尽管它的假设是"旨在窃取存储在受害者机器上的加密资产,或者破坏扩展用户正在开发的以太坊合约"。
在与Decrypt交谈时,博客作者Petar Kirhmajer报告,ReversingLabs没有迹象或证据表明恶意代码实际上被用于窃取代币或数据。
然而,Kirhmajer在博客中写道,ETHcode有6,000个安装,这个拉取请求——将作为自动更新的一部分推出——可能已经传播到"数千个开发者系统"。
这可能令人担忧,一些开发者认为这种漏洞在加密领域经常发生,因为该行业严重依赖开源开发。
根据以太坊开发者和NUMBER GROUP联合创始人Zak Cole的说法,许多开发者在安装开源包时不会仔细检查。
"有人插入恶意内容太容易了,"他告诉Decrypt,"可能是npm包,浏览器扩展,或者其他任何东西。"
最近的高调案例包括2023年12月的Ledger Connect Kit漏洞,以及去年12月发现的Solana web3.js开源库中的恶意软件。
"代码太多,关注的人太少,"Cole补充道,"大多数人只是假设东西很安全,因为它很流行或存在已久,但这并不意味着什么。"
Cole affirms,虽然这种情况并不特别新鲜,但"攻击面正在扩大",因为越来越多的开发者在使用开源工具。
"还要记住,有整个仓库的朝鲜操作员,他们的全职工作就是执行这些漏洞,"他说。
虽然Cole认为可能存在比许多开发者意识到的更多恶意代码,但Kirhmajer告诉Decrypt,在他看来,"成功的尝试非常罕见"。
这引出了开发者可以做些什么来减少使用受感染代码的机会的问题,ReversingLabs建议他们在下载任何内容之前验证贡献者的身份和历史。
该公司还建议开发者审查诸如package.json之类的文件,以评估新的依赖项,这也是Zak Cole所提倡的。
"有帮助的是锁定你的依赖项,这样你每次构建时就不会引入随机的新东西,"他说。
Cole还建议使用可以扫描异常行为或可疑维护者的工具,同时注意任何可能突然更换所有者或意外更新的包。
"另外,不要在用于构建东西的同一台机器上运行签名工具或钱包,"他总结道,"除非你已经检查或隔离,否则就假设没有什么是安全的。"
