Cybersecurity-onderzoekers bij ReversingLabs ontdekten twee regels kwaadaardige code in een update voor ETHCode, een open-source Ethereum ontwikkeltoolkit die door ongeveer 6.000 ontwikkelaars wordt gebruikt. De kwaadaardige code werd toegevoegd door middel van een GitHub pull request dat zowel AI-beveiligingscontroles als menselijk toezicht omzeilde voordat het werd verspreid naar ontwikkelaarsystemen.
Wat u moet weten:
- Een hacker zonder eerdere GitHub geschiedenis voegde malware toe aan ETHCode via een pull request van 43 commits met 4.000 bijgewerkte regels
- De kwaadaardige code was ontworpen om scripts te downloaden en uit te voeren die mogelijk cryptocurrency-activa zouden kunnen stelen of slimme contracten in gevaar zouden kunnen brengen
- Zowel de AI-reviewer van GitHub als het ontwikkelingsteam detecteerden de geavanceerde aanval niet, wat zorgen oproept over beveiligingspraktijken voor open-source
Aanvaldetails Openbaar Door Onderzoek
De kwaadaardige pull request werd op 17 juni ingediend door een gebruiker geïdentificeerd als Airez299, die geen eerdere bijdragen had geleverd op het platform. Onderzoekers van ReversingLabs ontdekten dat de aanvaller de kwaadaardige code succesvol had verduisterd door het een naam te geven die lijkt op bestaande bestanden en de werkelijke code structuur te verduisteren.
De eerste regel kwaadaardige code was ontworpen om naadloos op te gaan in legitieme bestanden. De tweede regel diende als een activatiemechanisme dat uiteindelijk een PowerShell-functie zou creëren die batchscripts zou downloaden en uitvoeren vanaf openbare bestandshostingservices.
Zowel de geautomatiseerde AI-reviewer van GitHub als leden van 7finney, de groep die verantwoordelijk is voor het onderhoud van ETHCode, analyseerden de massieve code-update. Tijdens het reviewproces werden alleen kleine wijzigingen gevraagd, waarbij noch menselijke reviewers noch geautomatiseerde systemen de ingebedde malware als verdacht markeerden.
Potentieel Bereikte Invloed Duizenden Systemen
ETHCode fungeert als een uitgebreide reeks tools waarmee ontwikkelaars van Ethereum slimme contracten kunnen bouwen en implementeren die compatibel zijn met de Ethereum Virtual Machine. De gecompromitteerde update zou automatisch worden verspreid naar gebruikerssystemen via standaard update-mechanismen.
Onderzoeker Petar Kirhmajer van ReversingLabs vertelde aan Decrypt dat het bedrijf geen bewijs heeft gevonden dat de kwaadaardige code daadwerkelijk is uitgevoerd om tokens of gegevens te stelen. De potentiële omvang van de aanval blijft echter significant gezien de gebruikersbasis van de tool.
"Het pull request kan zich hebben verspreid naar duizenden ontwikkelaarsystemen", merkte Kirhmajer op in de onderzoeksblog. ReversingLabs blijft onderzoek doen naar de exacte functionaliteit van de gedownloade scripts, waarbij wordt aangenomen dat ze waren "bedoeld om crypto-activa te stelen die op de machine van het slachtoffer zijn opgeslagen of om alternatieven de Ethereum-contracten te compromitteren die door gebruikers van de extensie worden ontwikkeld."
De aanval vertegenwoordigt een geavanceerde beveiligingscompromis in de toeleveringsketen die gebruik maakte van het inherente vertrouwen in open-source ontwikkelingsprocessen.
Industrieexperts Waarschuwen Voor Wijdverspreide Kwetsbaarheid
Ethereum-ontwikkelaar en medeoprichter van NUMBER GROUP Zak Cole benadrukte dat dit type aanval bredere beveiligingsuitdagingen weergeeft waarmee het ontwikkel ecosysteem van cryptocurrency wordt geconfronteerd. Veel ontwikkelaars installeren open-sourcepakketten zonder grondige beveiligingscontroles uit te voeren.
"Het is veel te gemakkelijk voor iemand om iets kwaadaardigs in te voegen," vertelde Cole aan Decrypt. "Het kan een npm-pakket zijn, een browserextensie, wat dan ook."
De zware afhankelijkheid van de cryptocurrency-industrie van open-source ontwikkeling creëert een toenemend aanval oppervlak voor kwaadwillende actoren. Cole wees op recente high-profile incidenten, waaronder de Ledger Connect Kit-exploit van december 2023 en malware ontdekt in Solana's web3.js-bibliotheek.
"Er is te veel code en te weinig ogen erop," voegde Cole toe. "De meeste mensen nemen gewoon aan dat dingen veilig zijn omdat ze populair zijn of al een tijdje bestaan, maar dat betekent niets."
Cole merkte op dat het aanspreekbare aanval oppervlak blijft groeien naarmate meer ontwikkelaars open-source tools adopteren. Hij benadrukte ook de betrokkenheid van staat gesponsorde actoren bij deze aanvallen.
"Houd er ook rekening mee dat er hele magazijnen vol Noord-Koreaanse operatieven zijn wiens voltijdse taak het is deze exploits uit te voeren," zei Cole.
Beveiligingsaanbevelingen Voor Ontwikkelaars
Ondanks de geavanceerde aard van de aanval, geloven beveiligingsexperts dat succesvolle compromissen relatief zeldzaam blijven. Kirhmajer schatte dat "succesvolle pogingen zeer zeldzaam zijn" op basis van zijn onderzoekservaring.
ReversingLabs raadt aan dat ontwikkelaars de identiteit en bijdragegeschiedenis van codebijdragers verifiëren voordat ze updates downloaden of implementeren. Het bedrijf stelt ook voor om package.json-bestanden en soortgelijke afhankelijkheidsverklaringen te bekijken om nieuwe code relaties te evalueren.
Cole pleitte voor aanvullende beveiligingsmaatregelen, waaronder het vergrendelen van afhankelijkheden om automatische opname van niet-geteste code updates te voorkomen. Hij raadde het gebruik aan van geautomatiseerde scan tools die verdachte gedrags patronen of twijfelachtige profiel onderhouders kunnen identificeren.
Ontwikkelaars moeten ook alert zijn op pakketten die plotseling van eigenaar veranderen of onverwachte updates uitbrengen. Cole benadrukte het belang van het handhaven van aparte omgevingen voor verschillende ontwikkelingsactiviteiten.
"Voer ook geen signerings-tools of wallets uit op dezelfde machine die je gebruikt om dingen te bouwen," concludeerde Cole. "Ga er gewoon vanuit dat niets veilig is tenzij je het hebt gecontroleerd of in een sandbox hebt gezet."
Afsluitende Gedachten
Dit incident benadrukt de voortdurende beveiligingsuitdagingen waarmee open-source cryptocurrency ontwikkeling wordt geconfronteerd, waar geavanceerde aanvallers vertrouwensmechanismen kunnen misbruiken om malware te verspreiden naar duizenden ontwikkelaarsystemen. Hoewel er geen bewijs is dat de kwaadaardige code succesvol is uitgevoerd, demonstreert de aanval de noodzaak van verbeterde beveiligingspraktijken en verificatieprocessen binnen het cryptocurrency-ontwikkelings ecosysteem.