Дослідники кібербезпеки з ReversingLabs виявили два рядки зловмисного коду, вбудовані в оновлення для ETHCode, інструментарію розробки Ethereum з відкритим вихідним кодом, що використовується приблизно 6,000 розробниками. Зловмисний код був вставлений через GitHub pull request, який успішно обійшов як штучну інтелектуальну перевірку, так і людську перевірку для розповсюдження до систем розробників.
Що потрібно знати:
- Зловмисник без попередньої історії GitHub вставив шкідливе ПЗ в ETHCode через pull request з 43 комітами, що містив 4,000 оновлених рядків
- Зловмисний код був призначений для завантаження та виконання скриптів, які можуть потенційно викрасти криптовалютні активи або скомпрометувати смарт-контракти
- Як AI рецензент GitHub, так і команда розробників не виявили складної атаки, що викликає занепокоєння щодо практик безпеки з відкритим вихідним кодом
Деталі атаки з'являються в ході розслідування
Зловмиснику перший pull request подав 17 червня користувач Airez299, який раніше не мав жодної історії внесків на платформі. Дослідники з ReversingLabs виявили, що атакуючий успішно приховав зловмисний код, давши йому ім'я, схоже на існуючі файли, при цьому обфускуючи саму структуру коду.
Перший рядок зловмисного коду був розроблений так, щоб безперешкодно зливатися з легітимними файлами. Другий рядок служив механізмом активації, що зрештою створив би функцію PowerShell, призначену для завантаження і виконання пакетних скриптів з публічних сервісів хостингу файлів.
Як GitHub's автоматичний AI рецензент, так і члени 7finney, групи, відповідальної за підтримку ETHCode, проаналізували масштабне оновлення коду. Під час процесу рецензування були запитані тільки незначні зміни, жоден з людських рецензентів або автоматизованих систем не помітив зловмисне ПЗ, що безпечно вбудовувалося в код як підозріле.
Потенційний вплив охоплює тисячі систем
ETHCode слугує всебічним набором інструментів, що дозволяє розробникам Ethereum створювати та розгортати смарт-контракти, сумісні з Ethereum Virtual Machine. Скомпрометоване оновлення автоматично розповсюдилося б на системи користувачів через стандартні механізми оновлення.
Дослідник з ReversingLabs Петар Кирхмаєр розповів Decrypt, що фірма не знайшла доказів того, що зловмисний код був фактично виконаний для викрадення токенів або даних. Проте, потенційна шкода атаки залишається значною, враховуючи базу користувачів інструменту.
"Цей pull request можливо поширився на тисячі систем розробників," зауважив Кирхмаєр у дослідницькому блозі. ReversingLabs продовжують розслідувати точну функціональність завантажених скриптів, працюючи під припущенням, що вони були "призначені для викрадення криптоактивів, що зберігаються на машині жертви або, як альтернатива, скомпрометувати контракти Ethereum під розробкою користувачами розширення."
Атака демонструє складний компроміс у ланцюгу поставок, який скористався довірою, властивою процесам розробки з відкритим вихідним кодом.
Експерти галузі попереджають про широку вразливість
Розробник Ethereum і співзасновник NUMBER GROUP Зак Коул наголосив, що цей тип атаки відображає ширші проблеми безпеки, з якими стикається екосистема розробки криптовалют. Багато розробників встановлюють пакети з відкритим вихідним кодом без проведення ретельних перевірок безпеки.
"Для когось надто легко впровадити щось зловмисне," розповів Коул Decrypt. "Це може бути npm пакет, розширення браузера, що завгодно."
Тяжка залежність криптовалютної індустрії від розробки з відкритим вихідним кодом створює розширювану поверхню атаки для зловмисників. Коул вказав на недавні високопрофільні інциденти, включаючи експлоїт Ledger Connect Kit з грудня 2023 року та виявлене шкідливе ПЗ в бібліотеці Solana web3.js.
"Є надто багато коду і недостатньо очей на нього," додав Коул. "Більшість людей просто передбачає, що це безпечно, бо це популярно чи існує давно, але це нічого не значить."
Коул зауважив, що доступна поверхня атаки продовжує розширюватися, оскільки більше розробників приймають інструменти з відкритим вихідним кодом. Він також підкреслив участь державних акторів в цих атаках.
"Крім того, слід пам'ятати, що є цілі склади, повні оперативників КНДР, чия спеціальність – виконувати ці експлоїти," сказав Коул.
Рекомендації безпеки для розробників
Незважаючи на складність атаки, експерти з безпеки вважають, що успішні компроміси залишаються відносно рідкісними. Кирхмаєр оцінив, що "успішні спроби дуже рідкісні," ґрунтуючись на своєму досвіді досліджень.
ReversingLabs рекомендує розробникам перевіряти ідентичність та історію внесків кодових авторів перед завантаженням чи впровадженням оновлень. Фірма також пропонує перевіряти файли package.json та схожі декларації залежностей для оцінки нових кодових взаємодій.
Коул рекомендував додаткові заходи безпеки, включаючи блокування залежностей, щоб запобігти автоматичному включенню нетестованих оновлень коду. Він рекомендував використовувати автоматизовані інструменти сканування, що можуть виявити підозрілі зразки поведінки або сумнівні профілі підтримки.
Розробникам слід також відстежувати пакети, які раптово змінюють власника або випускають несподівані оновлення. Коул підкреслив важливість підтримки окремих середовищ для різних видів розробок.
"Також не запускайте підписуючі інструменти або гаманці на тій самій машині, яку ви використовуєте для розробки," підсумував Коул. "Просто припускайте, що нічого не безпечно, поки ви це не перевірили або не відправили в пісочницю."
Заключні думки
Цей інцидент підкреслює постійні виклики безпеки з відкритим вихідним кодом у розробці криптовалют, де складні атакуючі можуть використовувати механізми довіри для розповсюдження зловмисного ПЗ до тисяч систем розробників. Хоча немає доказів, що зловмисний код був успішно виконаний, ця атака демонструє потребу у вдосконалених практиках безпеки та процесах перевірки всередині екосистеми розробки криптовалют.