ReversingLabs 的網絡安全研究員發現,在開源 Ethereum 開發工具 ETHCode 的更新中,有兩行惡意程式碼被植入。該工具約有六千名開發者使用。這些惡意程式碼是透過 GitHub 的 pull request 插入的,成功避過了 AI 安全審查及人工復核,最終分發到開發者系統中。
重點要點:
- 一名沒有過往 GitHub 記錄的黑客,透過43次提交、約4,000行更新,將惡意程式碼植入 ETHCode
- 惡意程式碼旨在下載及執行腳本,可能竊取加密貨幣資產或危害智能合約
- GitHub 的 AI 審核員及7finney 團隊成員沒察覺這高級攻擊,引發開源安全關注
調查揭示攻擊詳情
該惡意 pull request 於6月17日由用戶 Airez299 提交,該用戶在平台上沒有任何貢獻紀錄。ReversingLabs 研究員發現,攻擊者利用與現有檔案相似的名稱,以及混淆程式結構,來隱蔽惡意程式碼。
第一行惡意碼設計得與正常檔案無縫融合。第二行則會啟動一個 PowerShell 函式,從公開檔案儲存服務下載和執行 batch 腳本。
GitHub 的自動化 AI 審查及負責 ETHCode 維護的 7finney 團隊成員,亦有審查這次大規模更新。審查過程中只要求了些微修正,沒有人員或系統發現潛藏的惡意程式碼有可疑之處。
影響或波及數千系統
ETHCode 是一套供以太坊開發者打造、部署與 Ethereum Virtual Machine 兼容智能合約的工具。被污染的更新,會透過標準自動更新機制自動派發。
ReversingLabs 研究員 Petar Kirhmajer 向 Decrypt 表示,暫時無證據顯示惡意程式碼已有實際執行、竊取資產或資料。但因該工具的龐大用戶群,攻擊潛在影響不容忽視。
Kirhmajer 在研究博客指:「這個 pull request 有可能已擴散到數千開發者系統。」ReversingLabs 仍在調查下載腳本的確切功能,初步認定其「目的或為竊取受害者機器上的加密資產,或危害正在開發的以太坊合約。」
這次事件屬於高階供應鏈攻擊,利用了開源開發社區內的信任機制。
業界專家警告普遍性漏洞
以太坊開發者及 NUMBER GROUP 聯合創辦人 Zak Cole 強調,這類攻擊反映了加密貨幣開發生態面臨的普遍安全挑戰。過多開發者安裝開源套件時,未有仔細審查安全。
Cole 向 Decrypt 指:「有人植入惡意東西其實好容易,或可能是 npm、瀏覽器擴展等。」
加密業界對開源的高度依賴,為惡意攻擊者擴大攻擊面。Cole 指出,近期還有如 2023年12月 Ledger Connect Kit 漏洞,以及 Solana 網絡 web3.js程式庫發現的惡意程式碼等高調事件。
Cole 補充:「程式碼太多,但檢查的人太少。大部分人以為東西流行或存在已久就是安全,其實未必。」
Cole 還指,隨著更多開發者採用開源工具,可被攻擊的範圍進一步擴大,且有國家背景的組織參與其中。
「整個倉庫都是全職 DPRK(北韓)駭客負責發動這類攻擊,大家要留意。」
給開發者的安全建議
儘管攻擊手法複雜,專家認為真正成功的案例仍然稀少。Kirhiamjer 指「成功嘗試非常罕見」是他的研究經驗。
ReversingLabs 建議開發者,在下載或應用更新前,應核實代碼貢獻者身份及過往紀錄。還要檢視 package.json 等依賴檔案評估新代碼的關聯。
Cole 主張增加安全措施,例如鎖定依賴項,避免自動引入未經測試的代碼更新。他建議使用自動化掃描工具,檢查可疑行為模式或維護者身份。
開發者亦應留意套件是否突然更換擁有權,或發生非預期更新。Cole 強調要為不同開發活動維持獨立環境。
「還有,就是建立、運行簽名工具或錢包,不要跟開發工作放同一部機。總之,未經檢查或隔離就當作不安全。」
總結
事件反映了開源加密貨幣開發持續面臨的安全挑戰——複雜攻擊者可以利用信任機制,向數千開發者系統派發惡意程式碼。雖然暫無證據顯示惡意程式碼被成功執行,但這宗攻擊證明了加密開發生態對提升安全審查及驗證流程的迫切需求。