ReversingLabs'teki siber güvenlik araştırmacıları, yaklaşık 6,000 geliştirici tarafından kullanılan açık kaynaklı Ethereum geliştirme aracı ETHCode'un bir güncellemesine yerleştirilmiş iki satır kötü amaçlı kod keşfetti. Bu kötü amaçlı kod, hem yapay zeka güvenlik incelemelerini hem de insanlar tarafından yapılan denetimleri başarıyla atlatarak GitHub üzerinde bir pull request ile sisteme eklendi ve geliştirici sistemlerine dağıtıldı.
Bilinmesi Gerekenler:
- Hiçbir önceki GitHub geçmişi bulunmayan bir hacker, 43 commit içeren bir pull request ile ETHCode'a kötü amaçlı yazılım ekledi.
- Kötü amaçlı kod, kripto para varlıklarını çalabilecek veya akıllı sözleşmeleri tehlikeye atabilecek script'leri indirmek ve çalıştırmak üzere tasarlandı.
- Hem GitHub'un yapay zeka inceleyicisi hem de geliştirme ekibi bu sofistike saldırıyı tespit edemedi ve bu durum açık kaynak güvenlik uygulamaları hakkında endişe yarattı.
Soruşturma ile Saldırı Detayları Ortaya Çıkıyor
Kötü amaçlı pull request, Airez299 olarak tanımlanan bir kullanıcı tarafından 17 Haziran'da gönderildi ve platformda daha önce hiçbir katkı geçmişi yoktu. ReversingLabs araştırmacıları, saldırganın kötü amaçlı kodu var olan dosyalara benzer bir ad vererek ve gerçek kod yapısını karmaşıklaştırarak gizlediğini buldu.
İlk satır kötü amaçlı kod, meşru dosyalarla sorunsuz bir şekilde uyum sağlamak üzere tasarlandı. İkinci satır, nihayetinde genel dosya barındırma hizmetlerinden batch script'leri indirip çalıştıracak bir PowerShell fonksiyonu oluşturacak bir etkinleştirme mekanizması olarak hizmet etti.
Hem GitHub'un otomatik yapay zeka inceleyicisi hem de ETHCode'un bakımını yapan 7finney grubu, bu büyük kod güncellemesini inceledi. İnceleme sürecinde sadece küçük değişiklik istekleri yapılırken ne insan inceleyiciler ne de otomatik sistemler gömülü kötü amaçlı yazılımı şüpheli olarak işaretledi.
Binlerce Sistemi Etkileme Potansiyeli
ETHCode, Ethereum geliştiricilerin Ethereum Sanal Makinesi ile uyumlu akıllı sözleşmeler oluşturup dağıtabilmelerini sağlayan kapsamlı bir araç seti olarak hizmet vermektedir. Tehlikeye atılmış güncelleme, standart güncelleme mekanizmaları üzerinden kullanıcı sistemlerine otomatik olarak dağıtılmış olabilirdi.
ReversingLabs araştırmacısı Petar Kirhmajer, firmanın kötü amaçlı kodun gerçekten token veya veri çalmak için çalıştırıldığına dair hiçbir kanıt bulamadığını Decrypt'e söyledi. Ancak, aracın kullanıcı tabanı göz önüne alındığında saldırının potansiyel kapsamı önemini korumaktadır.
Kirhmajer, araştırma blogunda "Pull request, binlerce geliştirici sistemine yayılmış olabilir" diye belirtti. ReversingLabs, indirilen script'lerin tam işlevselliğini araştırmaya devam ediyor ve bunların "mağdurun bilgisayarında depolanan kripto varlıklarını çalmak veya alternatif olarak uzantıyı kullanan kullanıcıların geliştirilen Ethereum sözleşmelerini tehlikeye atmak için tasarlandıkları" varsayımıyla çalışıyor.
Saldırı, açık kaynak geliştirme süreçlerinde bulunan güvene dayalı mekanizmaları kötü amaçla kullanan sofistike bir tedarik zinciri zafiyetini temsil ediyor.
Endüstri Uzmanları Geniş Çaplı Güvenlik Açıklarına Karşı Uyarıyor
Ethereum geliştiricisi ve NUMBER GROUP kurucu ortağı Zak Cole, bu tür bir saldırının kripto para geliştirme ekosisteminin karşılaştığı daha geniş güvenlik zorluklarını yansıttığını söyledi. Pek çok geliştirici, kapsamlı güvenlik incelemeleri yapmadan açık kaynak paketleri kuruyor.
Cole, Decrypt'e "Birinin kötü amaçlı bir şey eklemesi çok kolay. Bir npm paketi, bir tarayıcı uzantısı, her ne olursa olsun" dedi.
Kripto para endüstrisinin açık kaynak gelişimine ağır bir şekilde bağımlı olması, kötü niyetli aktörler için genişleyen bir saldırı yüzeyi yaratıyor. Cole, Aralık 2023'ten Ledger Connect Kit açığının ve Solana'nın web3.js kitaplığındaki zararlıyazılım keşfinin de dahil olduğu son yüksek profilli olaylara işaret etti.
Cole, "Çok fazla kod var ve üzerinde yeterince göz yok" dedi. "Çoğu insan, sadece popüler olduğu veya bir süredir ortada olduğu için şeylerin güvenli olduğunu varsayıyor, ama bu hiçbir şey ifade etmiyor."
Cole, daha fazla geliştiricinin açık kaynak araçları benimsemesiyle adreslenebilir saldırı yüzeyinin genişlemeye devam ettiğini belirtti. Bu saldırılarda devlet destekli aktörlerin de yer aldığını vurguladı.
"Ayrıca, Kuzey Kore'nin bu istismarı gerçekleştirmek için yalnızca bu tür operasyonlar üzerinde çalışan komple birimler olduğunu unutmayın," dedi Cole.
Geliştiricilere Yönelik Güvenlik Önerileri
Saldırının karmaşık doğasına rağmen, güvenlik uzmanları, başarılı kompromilerin nispeten nadir kaldığına inanıyor. Kirhmajer, araştırma deneyimlerine dayanarak "başarılı girişimlerin çok nadir olduğunu" tahmin etti.
ReversingLabs, geliştiricilerin güncellemeleri indirmeden veya uygulamadan önce kod katılımcılarının kimliğini ve katkı geçmişini doğrulamalarını öneriyor. Firma ayrıca, yeni kod ilişkilerini değerlendirmek için package.json dosyalarını ve benzeri bağımlılık beyanlarını incelemeyi öneriyor.
Cole, test edilmemiş kod güncellemelerinin otomatik olarak dahil edilmesini önlemek için bağımlılık kilitlemeyi içeren ek güvenlik önlemleri önerdi. Şüpheli davranış kalıplarını veya sorgulanabilir sorumlu profilleri belirleyebilecek otomatik tarama araçlarının kullanılmasını önerdi.
Geliştiriciler, aniden sahip değiştiren veya beklenmedik güncellemeler yayınlayan paketleri de izlemelidir. Cole, farklı geliştirme faaliyetleri için ayrı ortamların korunmasının önemini vurguladı.
"Ayrıca, imzalama araçlarını veya cüzdanları bir şeyler inşa ettiğiniz aynı makinede çalıştırmamaya dikkat edin," diye ekledi Cole. "Bir şeyin güvenli olduğunu varsaymayın, onu kontrol etmediğiniz veya sandbox'lamadığınız sürece."
Son Düşünceler
Bu olay, binlerce geliştirici sistemine kötü amaçlı yazılım dağıtmak için güven mekanizmasını istismar edebilen sofistike saldırganların var olduğu açık kaynak kripto para geliştirme alanındaki devam eden güvenlik zorluklarını vurguluyor. Kötü amaçlı kodun başarılı bir şekilde çalıştırıldığına dair hiçbir kanıt bulunmasa da, saldırı kripto para geliştirme ekosisteminde geliştirilmiş güvenlik uygulamaları ve doğrulama süreçlerine duyulan ihtiyacı ortaya koyuyor.