一名駭客將惡意拉取請求插入到一個面向以太坊開發者的程式碼擴充套件中,根據網路安全公司ReversingLabs的研究人員稱。
這段惡意程式碼被插入到ETHcode的一個更新中,這是一個開源工具套件,以太坊開發者用它來構建和部署相容EVM的智慧合約和去中心化應用。
ReversingLabs的部落格揭示,兩行惡意程式碼被隱藏在一個包含43個提交和4,000行更新的GitHub拉取請求中,該請求主要關注新增新的測試框架和功能。
這個更新於6月17日由沒有prior歷史的使用者Airez299新增到GitHub上。
這個拉取請求被GitHub的AI審查員和7finney團隊成員分析。
只要求了微小的更改,7finney和AI掃描器都沒有發現任何可疑之處。
Airez299透過給第一行惡意程式碼起一個與現有檔案相似的名稱,並混淆和重組程式碼本身,使其更難閱讀。
第二行程式碼的功能是啟用第一行,根據ReversingLabs的說法,最終目的是建立一個自動化功能(Powershell),從公共檔案託管服務下載和操作批處理指令碼。
ReversingLabs仍在調查這個指令碼具體做什麼,儘管它的假設是"旨在竊取儲存在受害者機器上的加密資產,或者破壞擴充套件使用者正在開發的以太坊合約"。
在與Decrypt交談時,部落格作者Petar Kirhmajer報告,ReversingLabs沒有跡象或證據表明惡意程式碼實際上被用於竊取代幣或資料。
然而,Kirhmajer在部落格中寫道,ETHcode有6,000個安裝,這個拉取請求——將作為自動更新的一部分推出——可能已經傳播到"數千個開發者系統"。
這可能令人擔憂,一些開發者認為這種漏洞在加密領域經常發生,因為該行業嚴重依賴開源開發。
根據以太坊開發者和NUMBER GROUP聯合創始人Zak Cole的說法,許多開發者在安裝開源包時不會仔細檢查。
"有人插入惡意內容太容易了,"他告訴Decrypt,"可能是npm包,瀏覽器擴充套件,或者其他任何東西。"
最近的高調案例包括2023年12月的Ledger Connect Kit漏洞,以及去年12月發現的Solana web3.js開源庫中的惡意軟體。
"程式碼太多,關注的人太少,"Cole補充道,"大多數人只是假設東西很安全,因為它很流行或存在已久,但這並不意味著什麼。"
Cole affirms,雖然這種情況並不特別新鮮,但"攻擊面正在擴大",因為越來越多的開發者在使用開源工具。
"還要記住,有整個倉庫的朝鮮操作員,他們的全職工作就是執行這些漏洞,"他說。
雖然Cole認為可能存在比許多開發者意識到的更多惡意程式碼,但Kirhmajer告訴Decrypt,在他看來,"成功的嘗試非常罕見"。
這引出了開發者可以做些什麼來減少使用受感染程式碼的機會的問題,ReversingLabs建議他們在下載任何內容之前驗證貢獻者的身份和歷史。
該公司還建議開發者審查諸如package.json之類的檔案,以評估新的依賴項,這也是Zak Cole所提倡的。
"有幫助的是鎖定你的依賴項,這樣你每次構建時就不會引入隨機的新東西,"他說。
Cole還建議使用可以掃描異常行為或可疑維護者的工具,同時注意任何可能突然更換所有者或意外更新的包。
"另外,不要在用於構建東西的同一臺機器上執行簽名工具或錢包,"他總結道,"除非你已經檢查或隔離,否則就假設沒有什麼是安全的。"
