Các nhà nghiên cứu an ninh mạng tại ReversingLabs đã phát hiện hai dòng mã độc nhúng trong một bản cập nhật cho ETHCode, công cụ phát triển Ethereum mã nguồn mở được sử dụng bởi khoảng 6,000 nhà phát triển. Mã độc này được chèn qua một GitHub pull request đã qua mặt cả những kiểm tra bảo mật AI và giám sát của con người trước khi được phân phối đến hệ thống của các nhà phát triển.
Những Điều Cần Biết:
- Một tin tặc không có lịch sử trên GitHub trước đó đã chèn mã độc vào ETHCode qua một pull request với 43 commits chứa 4,000 dòng cập nhật
- Mã độc được thiết kế để tải và thực thi các script có khả năng đánh cắp tài sản tiền mã hóa hoặc xâm phạm hợp đồng thông minh
- Cả AI của GitHub và nhóm phát triển không phát hiện được cuộc tấn công tinh vi này, gây lo ngại về các thực hành bảo mật mã nguồn mở
Chi Tiết Tấn Công Lộ Diện Qua Cuộc Điều Tra
Pull request độc hại được gửi vào ngày 17 tháng 6 bởi một người dùng được định danh là Airez299, không có lịch sử đóng góp trước đó trên nền tảng. Các nhà nghiên cứu ReversingLabs phát hiện rằng kẻ tấn công đã thành công che giấu mã độc bằng cách đặt tên tương tự như các tập tin hiện có trong khi làm rối cấu trúc mã thực sự.
Dòng mã độc đầu tiên được thiết kế để hòa lẫn một cách liền mạch với các tập tin hợp pháp. Dòng thứ hai đóng vai trò như một cơ chế kích hoạt sẽ tạo ra một hàm PowerShell được thiết kế để tải và thực thi các script batch từ các dịch vụ lưu trữ tập tin công cộng.
Cả hệ thống đánh giá AI tự động của GitHub và các thành viên của nhóm 7finney, nhóm chịu trách nhiệm duy trì ETHCode, đã phân tích bản cập nhật mã lớn này. Chỉ có những thay đổi nhỏ được yêu cầu trong quá trình đánh giá, nhưng không có người đánh giá nào và cũng không có hệ thống tự động nào gắn cờ mã độc nhúng là đáng ngờ.
Tác Động Tiềm Năng Đạt Đến Hàng Nghìn Hệ Thống
ETHCode làm việc như một bộ công cụ toàn diện cho phép các nhà phát triển Ethereum xây dựng và triển khai các hợp đồng thông minh tương thích với Máy ảo Ethereum. Bản cập nhật bị xâm phạm sẽ được tự động phân phối đến hệ thống người dùng qua các cơ chế cập nhật tiêu chuẩn.
Nhà nghiên cứu ReversingLabs, Petar Kirhmajer, nói với Decrypt rằng công ty không tìm thấy bằng chứng mã độc thực sự đã được thực thi để đánh cắp token hoặc dữ liệu. Tuy nhiên, phạm vi tiềm năng của cuộc tấn công vẫn là đáng kể dựa trên cơ sở người dùng công cụ này.
"Pull request có thể đã lan ra hàng nghìn hệ thống của nhà phát triển," Kirhmajer lưu ý trong blog nghiên cứu. ReversingLabs tiếp tục điều tra chức năng chính xác của các script đã tải xuống, hoạt động dưới giả định rằng chúng "dự định đánh cắp tài sản crypto được lưu trữ trên máy của nạn nhân hoặc, thay vào đó, xâm phạm các hợp đồng Ethereum đang được phát triển bởi người dùng của tiện ích mở rộng."
Cuộc tấn công đại diện cho một cuộc tấn công chuỗi cung ứng tinh vi đã lợi dụng niềm tin vốn có trong các quy trình phát triển mã nguồn mở.
Chuyên Gia Ngành Cảnh Báo Về Tính Dễ Tổn Thương Phổ Biến
Nhà phát triển Ethereum và đồng sáng lập NUMBER GROUP, Zak Cole, nhấn mạnh rằng loại tấn công này phản ánh các thách thức bảo mật rộng hơn mà hệ sinh thái phát triển tiền mã hóa đang phải đối mặt. Nhiều nhà phát triển cài đặt các package mã nguồn mở mà không tiến hành đánh giá bảo mật kỹ lưỡng.
"Rất dễ dàng để ai đó cài cắm thứ gì đó độc hại," Cole nói với Decrypt. "Có thể là một gói npm, một tiện ích mở rộng trình duyệt, bất cứ thứ gì."
Sự phụ thuộc nặng nề của ngành công nghiệp tiền mã hóa vào phát triển mã nguồn mở đang tạo ra một bề mặt tấn công mở rộng cho các tác nhân độc hại. Cole chỉ ra các sự cố nổi bật gần đây bao gồm vụ khai thác Ledger Connect Kit từ tháng 12 năm 2023 và mã độc được phát hiện trong thư viện web3.js của Solana.
"Có quá nhiều mã và không đủ người quan sát," Cole thêm vào. "Hầu hết mọi người cứ cho rằng mọi thứ an toàn vì nó phổ biến hoặc đã xuất hiện lâu, nhưng điều đó không có nghĩa gì cả."
Cole lưu ý rằng bề mặt tấn công có thể tiếp cận tiếp tục mở rộng khi nhiều nhà phát triển áp dụng các công cụ mã nguồn mở. Ông cũng nhấn mạnh sự tham gia của các tác nhân được nhà nước tài trợ trong những cuộc tấn công này.
"Cũng nên nhớ rằng có cả những nhà kho chứa đầy đơn vị tác chiến của DPRK mà công việc toàn thời gian của họ là thực hiện những khai thác này," Cole nói.
Khuyến Nghị An Ninh Cho Nhà Phát Triển
Mặc dù bản chất tinh vi của cuộc tấn công, các chuyên gia bảo mật tin rằng các xâm phạm thành công vẫn khá hiếm. Kirhmajer ước tính rằng "các nỗ lực thành công rất hiếm" dựa trên kinh nghiệm nghiên cứu của mình.
ReversingLabs đề nghị các nhà phát triển xác minh danh tính và lịch sử đóng góp của người đóng góp mã trước khi tải xuống hoặc triển khai các bản cập nhật. Công ty cũng gợi ý nên xem xét các tệp package.json và các khai báo phụ thuộc tương tự để đánh giá mối quan hệ mã mới.
Cole kêu gọi thêm các biện pháp bảo mật bao gồm khóa phụ thuộc để ngăn ngừa việc bao gồm tự động các bản cập nhật mã chưa được kiểm tra. Ông khuyến nghị sử dụng các công cụ quét tự động có thể xác định các mẫu hành vi đáng ngờ hoặc các hồ sơ người bảo tồn đáng ngờ.
Các nhà phát triển cũng nên giám sát các gói đột ngột thay đổi quyền sở hữu hoặc phát hành các bản cập nhật bất ngờ. Cole nhấn mạnh tầm quan trọng của việc duy trì các môi trường riêng biệt cho các hoạt động phát triển khác nhau.
"Cũng đừng chạy các công cụ ký hoặc ví trên cùng một máy bạn sử dụng để xây dựng mọi thứ," Cole kết luận. "Chỉ cần xem như không có gì an toàn trừ khi bạn đã kiểm tra nó hoặc đặt nó vào vùng cách ly."
Lời Tạm Khép
Sự cố này làm nổi bật các thách thức an ninh liên tục mà phát triển tiền mã hóa mã nguồn mở phải đối mặt, nơi mà những kẻ tấn công tinh vi có thể lợi dụng các cơ chế tin cậy để phân phối mã độc tới hàng ngàn hệ thống của nhà phát triển. Dù không có bằng chứng cho thấy mã độc đã được thực thi thành công, cuộc tấn công chứng minh sự cần thiết của các thực hành bảo mật nâng cao và quy trình xác minh trong hệ sinh thái phát triển tiền mã hóa.