Исследователи в области кибербезопасности из ReversingLabs обнаружили две строки вредоносного кода в обновлении для ETHCode, открытого Ethereum набора инструментов разработки, используемого приблизительно 6,000 разработчиками. Вредоносный код был вставлен через запрос на вытягивание (pull request) на GitHub, который успешно обошел как проверки безопасности с использованием искусственного интеллекта, так и человеческий надзор, прежде чем был распространен на системы разработчиков.
Что нужно знать:
- Хакер без предыдущей активности на GitHub вставил вредоносную программу в ETHCode через запрос на вытягивание с 43 коммитами, включающий 4,000 обновленных строк
- Вредоносный код был разработан для загрузки и выполнения скриптов, которые могли бы потенциально украсть криптовалютные активы или скомпрометировать смарт-контракты
- Ни искусственный интеллект GitHub, ни команда разработчиков не выявили сложную атаку, вызывая озабоченность в отношении безопасности открытого кода
Детали атаки всплывают в ходе расследования
Вредоносный запрос на вытягивание был подан 17 июня пользователем под именем Airez299, у которого не было предыдущей истории участия на платформе. Исследователи ReversingLabs обнаружили, что атакующий успешно скрывал вредоносный код, дав ему название, схожее с существующими файлами, и запутывая собственную структуру кода.
Первая строка вредоносного кода была разработана для плавного смешивания с легитимными файлами. Вторая строка служила механизмом активации, который в конечном итоге создавал функцию PowerShell, предназначенную для загрузки и выполнения батч-скриптов из общедоступных сервисов файлового хостинга.
Как автоматизированный рецензент AI GitHub, так и участники группы 7finney, ответственной за поддержку ETHCode, анализировали огромное обновление кода. В процессе проверки были запрошены только незначительные изменения, и ни один из рецензентов, ни автоматизированные системы не отметили встроенное вредоносное ПО как подозрительное.
Потенциальное воздействие достигает тысяч систем
ETHCode является комплексным набором инструментов, который позволяет разработчикам Ethereum создавать и развертывать смарт-контракты, совместимые с Ethereum Virtual Machine. Скомпрометированное обновление было бы автоматически распространено на пользовательские системы через стандартные механизмы обновления.
Исследователь ReversingLabs Петр Кирхмайер рассказал Decrypt, что компания не нашла доказательств того, что вредоносный код действительно был выполнен для кражи токенов или данных. Однако потенциальный охват атаки остается значительным, учитывая базу пользователей инструмента.
«Запрос на вытягивание мог распространиться на тысячи систем разработчиков», отметил Кирхмайер в исследовательском блоге. ReversingLabs продолжает исследовать точную функциональность загруженных скриптов, предполагая, что они были «предназначены для кражи криптоактивов, хранящихся на машине жертвы, или, в качестве альтернативы, для компрометации Ethereum контрактов, разрабатываемых пользователями расширения».
Атака представляет собой сложный компромисс цепочки поставок, который использовал доверие, присущее процессам разработки с открытым исходным кодом.
Эксперты отрасли предупреждают о широко распространенной уязвимости
Разработчик Ethereum и сооснователь NUMBER GROUP Зак Коул подчеркнул, что этот тип атак отражает более широкие проблемы безопасности, с которыми сталкивается экосистема разработки криптовалют. Многие разработчики устанавливают пакеты с открытым исходным кодом, не проводя тщательные проверки безопасности.
«Слишком легко для кого-то внедрить что-то вредоносное», сказал Коул Decrypt. «Это может быть пакет npm, расширение браузера, что угодно».
Сильная зависимость индустрии криптовалют от разработки с открытым исходным кодом создает расширяющуюся поверхность атак для злонамеренных акторов. Коул указал на недавние резонансные инциденты, включая эксплойт Ledger Connect Kit в декабре 2023 года и обнаруженное вредоносное ПО в библиотеке web3.js Solana.
«Слишком много кода и недостаточно глаз на нем», добавил Коул. «Большинство людей просто предполагает, что всё безопасно, потому что это популярно или существовало долгое время, но это ничего не значит».
Коул отметил, что доступная поверхность атаки продолжает расширяться, так как все больше разработчиков осваивают инструменты с открытым исходным кодом. Он также подчеркнул участие спонсируемых государством акторов в этих атаках.
«Также имейте в виду, что существуют целые склады оперированных КНДР, чья работа заключается в выполнении этих эксплойтов», сказал Коул.
Рекомендации по безопасности для разработчиков
Несмотря на сложный характер атаки, эксперты по безопасности считают, что успешные компромиссы остаются относительно редкими. Кирхмайер оценил, что «успешные попытки очень редки» на основании его опыта исследования.
ReversingLabs рекомендует разработчикам проверять идентичность и истории участия кодовых контрибьюторов перед загрузкой или внедрением обновлений. Компания также предлагает просматривать файлы package.json и аналогичные декларации зависимостей для оценки новых кодовых связей.
Коул выступает за дополнительные меры безопасности, включая фиксацию зависимостей, чтобы предотвратить автоматическое включение нетестированных обновлений кода. Он рекомендует использовать автоматизированные инструменты сканирования, которые могут выявить подозрительные поведенческие паттерны или сомнительные профили поддерживающих.
Разработчикам также следует следить за пакетами, которые неожиданно меняют владельцев или выпускают неожиданные обновления. Коул подчеркнул важность поддержания отдельных сред для различных видов разработки.
«Также не запускайте инструменты подписания или кошельки на одной машине, на которой вы что-то разрабатываете», заключил Коул. «Просто предполагаете, что ничего не безопасно, если вы это не проверили или не изолировали в песочнице».
Заключительные мысли
Этот инцидент подчеркивает текущие проблемы безопасности, с которыми сталкивается разработка криптовалют с открытым исходным кодом, где сложные злоумышленники могут использовать механизмы доверия для распространения вредоносного ПО на тысячи систем разработчиков. Хотя нет доказательств того, что вредоносный код был успешно выполнен, атака демонстрирует необходимость улучшенных практик безопасности и процессов верификации в экосистеме разработки криптовалют.