Зловмисний код у розширенні Ethereum: загроза для криптоактивів розробників
10
Зловмисний запит на злиття вставлено в кодове розширення Ethereum: Дослідження
Згідно з дослідженнями фірми з кібербезпеки ReversingLabs, хакер вставив зловмисний запит на злиття в кодове розширення для розробників Ethereum.
Зловмисний код був вставлений в оновлення для ETHcode, набору інструментів з відкритим вихідним кодом, який використовують розробники Ethereum для створення та розгортання смарт-контрактів, сумісних з EVM, та dapps.
У блозі ReversingLabs йдеться, що два зловмисних рядки коду були заховані в запиті на злиття GitHub, який складався з 43 комітів та 4,000 оновлених рядків, і головним чином стосувався додавання нової тестової системи та можливостей.
Оновлення було додано на GitHub 17 червня користувачем Airez299, який не мав попередньої історії.
Запит на злиття було проаналізовано AI-рецензентом GitHub і членами групи 7finney, відповідальної за створення ETHcode.
Запит було затверджено з незначними змінами, при цьому ні 7finney, ні AI-сканер не виявили нічого підозрілого.
Airez299 змогла приховати природу першого зловмисного рядка коду, давши йому подібну назву, як і у вже існуючого файлу, а також заплутавши та зашифрувавши сам код, ускладнюючи його читання.
Другий рядок коду активує перший, який, згідно з ReversingLabs, в кінцевому результаті має на меті створення автоматизованої функції (Powershell), що завантажує та виконує пакетний скрипт з публічного файлообмінника.
ReversingLabs все ще проводить розслідування, що саме робить цей скрипт, хоча на даний момент працює за припущенням, що він «покликаний викрадати криптоактиви, які зберігаються на машині жертви або, альтернативно, скомпрометувати контракти Ethereum, що розробляються користувачами розширення».
Говорячи з Decrypt, автор блогу Петар Кирмаєр повідомив, що ReversingLabs не має жодних свідчень або доказів того, що зловмисний код насправді був використаний для викрадення токенів чи даних.
Однак Кирмаєр зазначає в блозі, що ETHcode має 6,000 установок і що запит на злиття — який, можливо, був розгорнутий як частина автоматичного оновлення — міг поширитися «на тисячі систем розробників».
Це може викликати занепокоєння, і деякі розробники стверджують, що подібні експлойти трапляються часто в криптоіндустрії, оскільки вона сильно покладається на розробку з відкритим вихідним кодом. «Занадто багато коду і недостатньо очей, що його перевіряють».
Згідно з словам розробника Ethereum та співзасновника NUMBER GROUP Зака Коула, багато розробників встановлюють пакунки з відкритим вихідним кодом, не перевіряючи їх належним чином.
«Занадто легко для когось вставити щось зловмисне», — сказав він Decrypt. «Це може бути пакунок npm, розширення для браузера, що завгодно».
Нещодавні високопрофільні приклади цього включають експлойт Ledger Connect Kit з грудня 2023 року, а також виявлення в грудні минулого року шкідливого ПЗ в бібліотеці web3.js Solana з відкритим вихідним кодом.
«Занадто багато коду і недостатньо очей, що його перевіряють», — додає Коул. «Більшість людей просто припускають, що речі безпечні, тому що вони популярні або давно існують, але це нічого не означає».
Коул стверджує, що, хоч це явище не є особливо новим, «зона атаки розширюється», оскільки дедалі більше розробників використовують інструменти з відкритим вихідним кодом.
«Також слід пам`ятати, що існують цілі склади, заповнені агентами КНДР, чия робота полягає в реалізації цих експлойтів», — сказав він.
Хоча Коул вважає, що, напевно, існує більше зловмисного коду, ніж багато розробників усвідомлюють, Кирмаєр зазначив Decrypt, що, на його думку, «успішні спроби є дуже рідкісними».
Це підводить до питання, що можуть зробити розробники, щоб зменшити шанси використання скомпрометованого коду, з рекомендацією ReversingLabs перевіряти особу та історію учасників перед завантаженням чого-небудь.
Фірма також пропонувала розробникам перевіряти файли, такі як package.json, щоб оцінити нові залежності, чого також дотримується Зак Коул.
«Що допомагає, так це фіксація ваших залежностей, щоб ви не завантажували випадкові нові речі щоразу, коли компілюєте», — сказав він.
Коул також рекомендував використовувати інструменти, які перевіряють на дивну поведінку або неакуратних утримувачів, а також стежити за будь-якими пакунками, які можуть раптом змінити власника або оновитися без попередження.
«Також не запускайте інструменти підпису або гаманці на тому ж комп`ютері, що ви використовуєте для розробки», — підсумував він. «Просто вважайте, що нічого немає безпечного, якщо ви не перевірили це або не ізольоване».
Аризонська інфлюенсерка отримала 8,5 років за шахрайство на користь Північної Кореї через IT-роботи в США
ТікТок-інфлюенсерка Христина Чапмен отримала 8,5 років за шахрайство на користь Північної Кореї. Вона допомагала отримувати IT-роботи в США, відмиваючи мільйони доларів. 💻💰🚨
Судова справа Романа Шторма: Чи може програмування бути злочином, та захист прав приватності в криптовалютному світі?
У суді триває справа Романа Шторма, розробника Tornado Cash. Захист стверджує, що протокол — інструмент приватності, а не злочину. Суть обвинувачення — змова на відмивання грошей. 🏛️⚖️🤑
Чоловіків звинуватили в катуванні інвестора Bitcoin - суд дозволив заставу у 1 мільйон доларів кожному
Двоє підозрюваних у катуванні інвестора Bitcoin вийшли під заставу. Зростає загроза насильства у крипто-сфері. Експерти радять заходи безпеки для захисту активів 🔒💰🚨.
Активність у гаманці Кріса Ларсена: перекази 50 мільйонів XRP та їх можливий вплив на ціну
Кріс Ларсен перевів 50 мільйонів XRP (175 млн $) на різні адреси, викликавши припущення про можливий продаж. Ці великі транзакції можуть вплинути на ціну XRP. 📈🔄💰👀