Pesquisadores de cibersegurança da ReversingLabs descobriram duas linhas de código malicioso embutidas em uma atualização para o ETHCode, um kit de ferramentas de desenvolvimento de Ethereum de código aberto usado por aproximadamente 6.000 desenvolvedores. O código malicioso foi inserido através de um pull request no GitHub que conseguiu contornar revisões de segurança de inteligência artificial e supervisão humana antes de ser distribuído para sistemas de desenvolvedores.
O que saber:
- Um hacker sem histórico anterior no GitHub inseriu malware no ETHCode através de um pull request de 43 commits contendo 4.000 linhas atualizadas
- O código malicioso foi projetado para baixar e executar scripts que poderiam potencialmente roubar ativos de criptomoeda ou comprometer contratos inteligentes
- Tanto o revisor de IA do GitHub quanto a equipe de desenvolvimento falharam em detectar o ataque sofisticado, levantando preocupações sobre as práticas de segurança de código aberto
Detalhes do Ataque Surgem na Investigação
O pull request malicioso foi submetido em 17 de junho por um usuário identificado como Airez299, que não tinha histórico de contribuições na plataforma. Os pesquisadores da ReversingLabs descobriram que o atacante conseguiu ocultar o código malicioso dando-lhe um nome semelhante a arquivos existentes enquanto ofuscava a estrutura real do código.
A primeira linha de código malicioso foi projetada para se misturar perfeitamente com arquivos legítimos. A segunda linha serviu como um mecanismo de ativação que, em última análise, criaria uma função PowerShell projetada para baixar e executar scripts em lote de serviços públicos de hospedagem de arquivos.
Tanto o revisor automatizado de IA do GitHub quanto membros do 7finney, o grupo responsável por manter o ETHCode, analisaram a enorme atualização de código. Apenas pequenas alterações foram solicitadas durante o processo de revisão, sem que revisores humanos ou sistemas automatizados sinalizassem o malware embutido como suspeito.
Impacto Potencial Atinge Milhares de Sistemas
O ETHCode serve como um conjunto abrangente de ferramentas que permite aos desenvolvedores Ethereum construir e implantar contratos inteligentes compatíveis com a Máquina Virtual Ethereum. A atualização comprometida teria sido distribuída automaticamente para sistemas de usuários através de mecanismos padrão de atualização.
O pesquisador da ReversingLabs Petar Kirhmajer disse ao Decrypt que a empresa não encontrou evidências de que o código malicioso foi realmente executado para roubar tokens ou dados. No entanto, o escopo potencial do ataque permanece significativo, dado a base de usuários da ferramenta.
"O pull request pode ter se espalhado para milhares de sistemas de desenvolvedores," observou Kirhmajer no blog de pesquisa. A ReversingLabs continua investigando a funcionalidade exata dos scripts baixados, operando sob a suposição de que eles foram "destinados a roubar ativos cripto armazenados na máquina da vítima ou, alternativamente, comprometer os contratos Ethereum em desenvolvimento pelos usuários da extensão."
O ataque representa uma sofisticada violação da cadeia de suprimentos que alavancou a confiança inerente aos processos de desenvolvimento de código aberto.
Especialistas do Setor Alertam Sobre Vulnerabilidade Generalizada
O desenvolvedor de Ethereum e cofundador do NUMBER GROUP, Zak Cole, enfatizou que esse tipo de ataque reflete desafios de segurança mais amplos enfrentados pelo ecossistema de desenvolvimento de criptomoeda. Muitos desenvolvedores instalam pacotes de código aberto sem realizar revisões de segurança completas.
"É muito fácil para alguém introduzir algo malicioso," Cole disse ao Decrypt. "Pode ser um pacote npm, uma extensão de navegador, o que for."
A forte dependência da indústria de criptomoedas em desenvolvimento de código aberto cria uma superfície de ataque em expansão para atores maliciosos. Cole apontou para incidentes de alto perfil recentes, incluindo a exploração do kit Ledger Connect de dezembro de 2023 e malware descoberto na biblioteca web3.js do Solana.
"Há muito código e poucos olhos sobre ele," Cole acrescentou. "A maioria das pessoas simplesmente assume que algo é seguro porque é popular ou já existe há algum tempo, mas isso não significa nada."
Cole observou que a superfície de ataque abordável continua se expandindo à medida que mais desenvolvedores adotam ferramentas de código aberto. Ele também destacou o envolvimento de atores patrocinados por estados nesses ataques.
"Além disso, lembre-se de que há armazéns inteiros de operativos da DPRK cujo trabalho em tempo integral é executar essas explorações," disse Cole.
Recomendações de Segurança para Desenvolvedores
Apesar da natureza sofisticada do ataque, especialistas em segurança acreditam que compromissos bem-sucedidos continuam relativamente raros. Kirhmajer estimou que "tentativas bem-sucedidas são muito raras" com base em sua experiência de pesquisa.
A ReversingLabs recomenda que os desenvolvedores verifiquem a identidade e o histórico de contribuições de colaboradores de código antes de baixar ou implementar atualizações. A empresa também sugere revisar arquivos package.json e declarações de dependências semelhantes para avaliar novas relações de código.
Cole defendeu medidas de segurança adicionais, incluindo o bloqueio de dependências para evitar a inclusão automática de atualizações de código não testadas. Ele recomendou o uso de ferramentas de varredura automatizadas que possam identificar padrões de comportamento suspeitos ou perfis de mantenedores questionáveis.
Os desenvolvedores também devem monitorar pacotes que subitamente mudam de propriedade ou lançam atualizações inesperadas. Cole enfatizou a importância de manter ambientes separados para diferentes atividades de desenvolvimento.
"Além disso, não execute ferramentas de assinatura ou carteiras na mesma máquina que você usa para construir coisas," Cole concluiu. "Apenas presuma que nada é seguro a menos que você tenha verificado ou colocado em sandbox."
Considerações Finais
Este incidente destaca os desafios de segurança em curso enfrentados pelo desenvolvimento de criptomoedas de código aberto, onde atacantes sofisticados podem explorar mecanismos de confiança para distribuir malware para milhares de sistemas de desenvolvedores. Embora não exista evidência que sugira que o código malicioso foi executado com sucesso, o ataque demonstra a necessidade de práticas de segurança aprimoradas e processos de verificação dentro do ecossistema de desenvolvimento de criptomoedas.