币币情报道:
一名黑客将恶意拉取请求插入到代码扩展中以太坊网络安全公司 ReversingLabs 的研究人员表示。
恶意代码被插入到ETH代码,以太坊开发者用来构建和部署 EVM 兼容的开源工具套件智能合约 和 去中心化应用.
答ReversingLabs 的博客发现在 GitHub 拉取请求中隐藏着两行恶意代码,该请求包含 43 次提交和 4,000 行更新,主要涉及添加新的测试框架和功能。
该更新于 6 月 17 日由之前没有更新历史的用户 Airez299 添加到 GitHub。
该拉取请求由 GitHub 的 AI 审核员和负责创建 ETHcode 的团队 7finney 的成员进行分析。
只要求进行微小的修改,7finney 和 AI 扫描仪均未发现任何可疑之处。
Airez299 能够通过赋予第一行恶意代码与现有文件相似的名称来掩盖其性质,同时还会混淆和打乱代码本身,使其更难阅读。
第二行代码用于激活第一行代码,根据 ReversingLabs 的说法,其最终目的是创建一个自动化功能(Powershell),从公共文件托管服务下载并运行批处理脚本。
ReversingLabs 仍在调查该脚本的具体功能,尽管它的假设是“旨在窃取受害者机器上存储的加密资产,或者破坏扩展用户正在开发的以太坊合约”。
正在说话解密博客作者 Petar Kirhmajer 报道称,ReversingLabs 没有迹象或证据表明该恶意代码实际上已被用来窃取代币或数据。
然而,Kirhmajer 在博客中写道,ETHcode 的安装量为 6,000 次,并且该拉取请求(作为自动更新的一部分推出)可能已经传播到“数千个开发者系统”。
这可能令人担忧,一些开发人员认为,由于加密行业严重依赖开源开发,这种漏洞在加密领域经常发生。
“代码太多,但关注的人不够。”
据以太坊开发人员兼 NUMBER GROUP 联合创始人 Zak Cole 称,许多开发人员在安装开源软件包时并没有对其进行适当的检查。
“有人很容易就会把恶意的东西塞进去,”他告诉解密。“可以是 npm 包、浏览器扩展,等等。”
最近引人注目的例子包括自 2023 年 12 月起的 Ledger Connect Kit 漏洞以及去年 12 月发现的Solana 的 web3.js 开源库中的恶意软件.
“代码太多,监管力度不够,”科尔补充道。“大多数人只是因为某个东西很流行或者已经存在一段时间了,就认定它是安全的,但这并不意味着什么。”
科尔肯定地说,虽然这种事情并不是什么新鲜事,但由于越来越多的开发人员正在使用开源工具,“可解决的攻击面正在扩大”。
“此外,请记住,整个仓库里都挤满了朝鲜特工,他们的全职工作就是执行这些任务,”他说。
虽然 Cole 认为潜伏的恶意代码可能比许多开发人员意识到的要多,但 Kirhmajer 告诉解密他认为“成功的尝试非常罕见”。
这就引出了一个问题:开发人员可以做些什么来减少使用受损代码的机会,ReversingLabs 建议他们在下载任何东西之前验证贡献者的身份和历史记录。
该公司还建议开发人员检查 package.json 等文件以评估新的依赖项,这也是 Zak Cole 所提倡的。
他说:“有帮助的是锁定你的依赖关系,这样你就不会在每次构建时随机引入新的东西。”
Cole 还建议使用扫描奇怪行为或粗略维护者的工具,同时留意任何可能突然转手或突然更新的软件包。
他总结道:“另外,不要在你用来构建东西的机器上运行签名工具或钱包。除非你检查过或进行过沙盒测试,否则就假设任何东西都是不安全的。”
快讯