Badacze ds. cyberbezpieczeństwa z ReversingLabs odkryli dwie linie złośliwego kodu w aktualizacji dla ETHCode, open-source'owego zestawu narzędzi do rozwoju Ethereum używanego przez około 6 000 deweloperów. Złośliwy kod został wprowadzony poprzez pull request na GitHubie, który skutecznie ominął zarówno kontrole bezpieczeństwa oparte na sztucznej inteligencji, jak i nadzór ludzki, zanim został rozpowszechniony do systemów deweloperów.
Co warto wiedzieć:
- Haker bez wcześniejszej historii na GitHubie wprowadził szkodliwe oprogramowanie do ETHCode przez pull request zawierający 43 commity i 4 000 zaktualizowanych linii
- Złośliwy kod został stworzony tak, by pobierać i wykonywać skrypty, które mogłyby potencjalnie kraść zasoby kryptowalutowe lub kompromitować inteligentne kontrakty
- Zarówno recenzent AI na GitHubie, jak i zespół deweloperów nie wykryli tego zaawansowanego ataku, co budzi obawy dotyczące praktyk bezpieczeństwa open-source
Szczegóły ataku ujawnione przez śledztwo
Złośliwy pull request został złożony 17 czerwca przez użytkownika o nazwie Airez299, który nie miał wcześniejszej historii kontrybucji na platformie. Badacze z ReversingLabs odkryli, że atakujący skutecznie zamaskował złośliwy kod, nadając mu nazwę podobną do istniejących plików, jednocześnie zaciemniając jego strukturę.
Pierwsza linia złośliwego kodu była zaprojektowana tak, by płynnie integrować się z prawdziwymi plikami. Druga linia działała jako mechanizm aktywacyjny, który ostatecznie tworzył funkcję PowerShell, mającą na celu pobieranie i wykonywanie skryptów wsadowych z publicznych usług hostingu plików.
Zarówno automatyczny recenzent AI GitHuba, jak i członkowie zespołu 7finney, odpowiedzialni za utrzymanie ETHCode, przeanalizowali gigantyczną aktualizację kodu. Podczas procesu recenzji zażądano tylko drobnych zmian, a ani recenzenci ludzkie, ani systemy automatyczne nie oznaczyły embedded malware jako podejrzane.
Potencjalny wpływ sięga tysięcy systemów
ETHCode służy jako kompleksowy zestaw narzędzi umożliwiający deweloperom Ethereum budowanie i wdrażanie inteligentnych kontraktów zgodnych z Ethereum Virtual Machine. Kompromisowa aktualizacja mogła być automatycznie rozpowszechniana do systemów użytkowników za pomocą standardowych mechanizmów aktualizacji.
Badacz ReversingLabs, Petar Kirhmajer, powiedział Decrypt, że firma nie znalazła dowodów na to, że złośliwy kod faktycznie został wykonany w celu kradzieży tokenów lub danych. Jednak potencjalny zasięg ataku pozostaje znaczący, biorąc pod uwagę bazę użytkowników narzędzia.
"Pull request mógł rozprzestrzenić się na tysiące systemów deweloperów," zauważył Kirhmajer w blogu badawczym. ReversingLabs kontynuuje badanie dokładnej funkcjonalności pobranych skryptów, zakładając, że miały one na celu "kradzież zasobów kryptowalutowych przechowywanych na komputerze ofiary, lub alternatywnie, naruszenie kontraktów Ethereum rozwijanych przez użytkowników rozszerzenia."
Atak reprezentuje zaawansowany kompromis w łańcuchu dostaw, który wykorzystuje zaufanie wbudowane w procesy rozwoju open-source.
Eksperci branżowi ostrzegają przed powszechną podatnością
Deweloper Ethereum i współzałożyciel NUMBER GROUP, Zak Cole, podkreślił, że tego typu atak odzwierciedla szersze wyzwania bezpieczeństwa stojące przed ekosystemem rozwoju kryptowalut. Wielu deweloperów instalują pakiety open-source bez przeprowadzania gruntownych przeglądów bezpieczeństwa.
"To zdecydowanie zbyt łatwe dla kogoś, aby przemycić coś złośliwego," powiedział Cole Decrypt. "Może to być pakiet npm, rozszerzenie przeglądarki, cokolwiek."
Silne poleganie przemysłu kryptowalutowego na rozwoju open-source tworzy rozszerzającą się powierzchnię ataku dla złośliwych aktorów. Cole wskazał na ostatnie incydenty o wysokim profilu, w tym exploit Ledger Connect Kit z grudnia 2023 roku i złowrogie odkrycie w bibliotece web3.js Solany.
"Jest zbyt wiele kodu i za mało oczu na niego," dodał Cole. "Większość ludzi po prostu zakłada, że dana rzecz jest bezpieczna, ponieważ jest popularna lub była na rynku przez jakiś czas, ale to nie znaczy nic."
Cole zauważył, że adresowalna powierzchnia ataku nadal się rozszerza, ponieważ więcej deweloperów przyjmuje narzędzia open-source. Wyeksponował również udział aktorów sponsorowanych przez państwo w takich atakach.
"Pamiętaj również, że istnieją całe magazyny pełne operacji ruchu północnokoreańskiego, których pełnoetatową pracą jest wykonywanie tych exploitów," zauważył Cole.
Zalecenia dotyczące bezpieczeństwa dla deweloperów
Pomimo zaawansowanej natury ataku, eksperci ds. bezpieczeństwa uważają, że udane kompromisy pozostają stosunkowo rzadkie. Kirhmajer oszacował, że "udane próby są bardzo rzadkie" na podstawie jego doświadczenia badawczego.
ReversingLabs zaleca, aby deweloperzy weryfikowali tożsamość i historię wkładu kodu kontrybutorów przed pobraniem lub wdrożeniem aktualizacji. Firma sugeruje również przeglądanie plików package.json i podobnych deklaracji zależności, aby ocenić nowe relacje kodu.
Cole opowiedział się za dodatkowymi środkami bezpieczeństwa, w tym blokowaniem zależności, aby zapobiec automatycznemu włączeniu nieprzetestowanych aktualizacji kodu. Polecił używanie narzędzi do automatycznego skanowania, które mogą identyfikować podejrzane wzorce zachowań lub wątpliwe profile opiekunów.
Deweloperzy powinni również monitorować pakiety, które nagle zmieniają właściciela lub wydają nieoczekiwane aktualizacje. Cole podkreślił znaczenie utrzymywania oddzielnych środowisk do różnych działań rozwojowych.
"Nie uruchamiaj także narzędzi do podpisywania lub portfeli na tym samym komputerze, którego używasz do budowania rzeczy," zakończył Cole. "Po prostu załóż, że nic nie jest bezpieczne, chyba że zostało to sprawdzone lub umieszczone w sandboxie."
Myśli końcowe
Ten incydent podkreśla ciągłe wyzwania bezpieczeństwa stojące przed rozwojem kryptowalut open-source, gdzie zaawansowani atakujący mogą wykorzystywać mechanizmy zaufania do rozpowszechniania malware na tysiące systemów deweloperów. Chociaż nie ma dowodów na to, że złośliwy kod został skutecznie wykonany, atak pokazuje potrzebę ulepszonych praktyk bezpieczeństwa i procesów weryfikacyjnych w ekosystemie rozwoju kryptowalut.