ReversingLabs のサイバーセキュリティ研究者が、約6,000人の開発者が使用するオープンソースの Ethereum 開発ツールキット ETHCode の更新内に、悪意のあるコードが埋め込まれていることを発見しました。この悪意のあるコードは、GitHub のプルリクエストを通じて 挿入 され、AIセキュリティレビューと人の監視を回避して開発者システムに配布されました。
知るべきこと:
- GitHub の歴史がないハッカーがETHCodeに悪意のあるコードを挿入
- 悪意のあるコードは仮想通貨資産の盗難やスマートコントラクトの侵害を目論むもの
- GitHubのAIレビュアーと開発チームが脅威を見逃し、オープンソースのセキュリティに懸念
調査によって明らかになった攻撃の詳細
悪意のあるプルリクエストは、以前の貢献歴がないAirez299として特定されたユーザーにより、6月17日に提出されました。ReversingLabs の研究者は、攻撃者が実際のコード構造を難読化しつつ、既存のファイル名に似た名前を付けることで悪意のコードを巧妙に隠蔽したことを発見しました。
悪意のあるコードの最初の行は、正当なファイルとシームレスに混ざり合うように設計されていました。2行目がアクティベーション機構として機能し、最終的にバッチスクリプトをダウンロードし公開ファイルホスティングサービスから実行するよう設計されたPowerShell関数を作成しました。
GitHubの自動AIレビュアーとETHCode を維持する責任を負う7finneyのメンバーが大規模なコード更新を分析しました。レビュープロセス中にマイナーな変更要求のみが行われ、人間のレビュアーも自動システムも埋め込まれたマルウェアを疑わしいものとしてフラグ付けしませんでした。
数千のシステムに影響を与える可能性
ETHCode は、イーサリアム仮想マシンと互換性のあるスマートコントラクトのビルドとデプロイを可能にする包括的なツール群を提供します。妥協されたアップデートは、標準的な更新メカニズムを通じてユーザーシステムに自動的に配信されるはずでした。
ReversingLabs の研究者ペタル・キルメジャーはDecryptに対し、悪意のあるコードが実際にトークンやデータを盗むために実行された証拠は見つかっていないと語りました。ただし、ツールのユーザーベースを考えると、攻撃の潜在的範囲は依然として重要です。
「プルリクエストは数千の開発者システムに広がった可能性がある」とキルメジャーは研究ブログで指摘しました。ReversingLabs は、ダウンロードされたスクリプトの正確な機能を引き続き調査しており、これらが犠牲者のマシンに保存された仮想通貨資産を盗むことを目的としているか、代わりに拡張機能のユーザーによって開発中のイーサリアム契約を侵害することを目的としていると仮定しています。
この攻撃は、オープンソース開発プロセスに内在する信頼を活用した洗練されたサプライチェーンの妥協を表しています。