اكتشف باحثو الأمن السيبراني في ReversingLabs خطي شيفرة خبيثة مدمجة ضمن تحديث لأداة تطوير إيثريوم المفتوحة المصدر Ethereum، التي يستخدمها حوالي 6000 مطور. تم إدخال الشيفرة الخبيثة من خلال طلب سحب على GitHub تجاوز بنجاح مراجعات الأمن الذكية والرقابة البشرية قبل أن يتم توزيعها على أنظمة المطورين.
ما يجب معرفته:
- قام مخترق بدون تاريخ سابق على GitHub بإدخال برمجيات خبيثة في ETHCode من خلال طلب سحب يحتوي على 43 تعديلًا و 4000 خط محدث
- تم تصميم الشيفرة الخبيثة لتنزيل وتنفيذ سكربتات قد تسرق أصول العملات المشفرة أو تضر بالعقود الذكية
- فشل كل من كما أداة المراجعة الذكية في GitHub وفريق التطوير في اكتشاف الهجوم المعقد، مما يثير المخاوف بشأن ممارسات الأمان في المصادر المفتوحة
تفاصيل الهجوم تخرج من التحقيق
تم تقديم طلب السحب الخبيث في 17 يونيو بواسطة مستخدم يُعرف باسم Airez299، وليس له تاريخ مساهمات سابق على المنصة. وجد الباحثون في ReversingLabs أن المهاجم قد أخفى الشيفرة الخبيثة بنجاح من خلال تسميتها باسم مشابه للملفات الحالية مع إخفاء هيكل الشيفرة الفعلي.
تم تصميم الخط الأول من الشيفرة الخبيثة لتندمج بسلاسة مع الملفات الشرعية. عمل الخط الثاني كآلية تنشيط لإنشاء وظيفة PowerShell مصممة لتنزيل وتنفيذ سكربتات الدفع من خدمات استضافة الملفات العامة.
قام كل من مُراجع الذكاء الاصطناعي التابع لـ GitHub وأعضاء 7finney، المجموعة المسؤولة عن صيانة ETHCode، بتحليل التحديث الضخم للشيفرة. تم طلب تغييرات طفيفة فقط خلال عملية المراجعة، ولم يشتبه أي من المراجعين البشريين أو الأنظمة الآلية في الشيفرة الضارة.
التأثير المحتمل يصل إلى آلاف الأنظمة
تعمل ETHCode كوحدة متكاملة من الأدوات التي تمكّن مطوري إيثريوم من بناء ونشر العقود الذكية المتوافقة مع آلة إيثريوم الافتراضية. كان من الممكن توزيع التحديث المخترق تلقائيًا على أنظمة المستخدمين من خلال آليات التحديث القياسية.
أخبر باحث ReversingLabs بيتر كيرماير Decrypt أن الشركة لم تجد أي دليل على تنفيذ الشيفرة الخبيثة لسرقة الرموز أو البيانات. ومع ذلك، يظل نطاق الهجوم كبيرًا نظرًا لقاعدة مستخدمي الأداة.
"قد يكون طلب السحب قد انتشر على آلاف أنظمة المطورين"، كما أشار كيرماير على مدونة الأبحاث. تواصل ReversingLabs التحقيق في الوظائف الفعلية للسكربتات التي تم تنزيلها، مرجحة أنها كانت "تهدف إلى سرقة أصول العملات المشفرة المخزنة على جهاز الضحية أو، بدلاً من ذلك، تعريض العقود الذكية للإيثريوم التي تحت التطوير من قبل مستخدمي الإضافة للخطر."
الهجوم يمثل اختراقًا متقدمًا لسلسلة التوريد الذي استغل الثقة المتأصلة في عمليات تطوير المصادر المفتوحة.
خبراء الصناعة يحذرون من ضعف واسع الانتشار
إيثريروم المطور والمؤسس المشارك لـ NUMBER GROUP زاك كول أكد أن هذا النوع من الهجوم يسلط الضوء على التحديات الأمنية الأوسع نطاقًا التي تواجه نظام تطوير العملات المشفرة. يثبت العديد من المطورين الحزم المفتوحة المصدر دون إجراء مراجعات أمنية شاملة.
"من السهل جدًا بالنسبة لشخص ما أن يضع شيئًا ضارًا"، كما قال كول لـ Decrypt. "قد يكون أحد حزم npm، أو إضافة المتصفح، أو أي شيء."
الاعتماد المكثف لصناعة العملات المشفرة على تطوير المصادر المفتوحة يخلق سطحًا هجوميًا متوسعًا للجهات الخبيثة. أشار كول إلى الحوادث البارزة الأخيرة بما في ذلك استغلال مجموعة Ledger Connect Kit من ديسمبر 2023 والبرامج الخبيثة التي تم اكتشافها في مكتبة الويب web3.js الخاصة بـ Solana.
"هناك الكثير من الشيفرات وقلة عدد العيون التي تنظر إليها"، أضاف كول. "يفترض معظم الناس أن الأشياء آمنة لأنها شائعة أو كانت موجودة لفترة، لكن ذلك لا يعني شيئًا."
أشار كول إلى أن السطح الهجومي المستهدف يستمر في التوسع مع تبني المزيد من المطورين لأدوات المصادر المفتوحة. كما أشار إلى تورط الجهات المدعومة من الدولة في هذه الهجمات.
"علاوة على ذلك، تذكر أن هناك مستودعات كاملة من عملاء كوريا الشمالية الذين يكون عملهم الكامل هو تنفيذ هذه الاستغلالات"، كما قال كول.
توصيات الأمن للمطورين
على الرغم من الطبيعة المتقدمة للهجوم، يعتقد خبراء الأمن أن الاختراقات الناجحة لا تزال نادرة نسبيًا. قدر كيرماير أن "المحاولات الناجحة نادرة جدًا" بناءً على خبرته البحثية.
توصي ReversingLabs بأن يتحقق المطورون من هوية وتاريخ مساهمات مقدمي الشيفرة قبل تنزيل أو تنفيذ التحديثات. توصي الشركة أيضًا بمراجعة ملفات package.json وإعلانات التبعية المشابهة لتقييم علاقات الشيفرة الجديدة.
دعا كول إلى اتخاذ تدابير أمان إضافية بما في ذلك تأمين التبعية لمنع تضمين تحديثات الشيفرة غير المجربة تلقائيًا. أوصى باستخدام أدوات المسح الأوتوماتيكية التي يمكنها التعرف على أنماط السلوك المشبوهة أو ملفات تعريف المساهمين المشكوك فيها.
يجب على المطورين أيضًا مراقبة الحزم التي تغير الملكية فجأة أو تصدر تحديثات غير متوقعة. ركز كول على أهمية الحفاظ على بيئات منفصلة للأنشطة التنموية المختلفة.
"كذلك لا تشغل أدوات التوقيع أو المحافظ على نفس الجهاز الذي تستخدمه لبناء الأشياء"، اختتم كول. "فقط افترض أن لا شيء آمن ما لم تتحقق منه أو احتوايه.
أفكار الاختتام:
تسلط هذه الحادثة الضوء على التحديات الأمنية المستمرة التي تواجه تطوير العملات المشفرة المفتوحة المصدر، حيث يمكن للمهاجمين المتقدمين استغلال آليات الثقة لتوزيع البرمجيات الخبيثة على آلاف أنظمة المطورين. على الرغم من عدم وجود أدلة تشير إلى تنفيذ الشيفرة الخبيثة بنجاح، إلا أن الهجوم يوضح الحاجة إلى تحسين ممارسات الأمن وعمليات التحقق ضمن نظام تطوير العملات المشفرة.