Вредоносный код в расширении Ethereum: как хакеры атакуют разработчиков

Вредоносный запрос на внесение изменений был вставлен в расширение кода для разработчиков Ethereum: исследование

Хакер вставил вредоносный запрос на внесение изменений в расширение кода для разработчиков Ethereum, согласно данным исследователей из компании по кибербезопасности ReversingLabs.

Вредоносный код был добавлен в обновление для ETHcode, набора инструментов с открытым исходным кодом, используемого разработчиками Ethereum для создания и развертывания совместимых с EVM смарт-контрактов и децентрализованных приложений (dapps).

В блоге ReversingLabs сообщается, что две вредоносные строки кода были скрыты в запросе на внесение изменений на GitHub, который состоял из 43 коммитов и 4000 обновленных строк, и в основном касался добавления новой тестовой структуры и функционала.

Обновление было добавлено на GitHub 17 июня пользователем Airez299, у которого не было предыдущей истории.

Запрос на внесение изменений был проанализирован ИИ-рецензентом GitHub и членами группы 7finney, ответственной за создание ETHcode.

Запрашивались лишь незначительные изменения, при этом ни 7finney, ни ИИ-сканер не нашли ничего подозрительного.

Airez299 смог скрыть природу первой вредоносной строки кода, дав ей похожее имя на уже существующий файл, а также запутал и затруднил чтение самого кода.

Вторая строка кода активирует первую, которая, согласно ReversingLabs, в конечном итоге предназначена для создания автоматической функции (PowerShell), которая загружает и выполняет пакетный скрипт с общедоступного файла-хранилища.

ReversingLabs продолжает расследование того, что именно делает этот скрипт, хотя они предполагают, что он `предназначен для кражи криптоактивов, хранящихся на машине жертвы, или, альтернативно, для компрометации смарт-контрактов Ethereum, разрабатываемых пользователями расширения.`

Говоря с Decrypt, автор блога Петр Кирхмайер сообщил, что у ReversingLabs нет никаких указаний или доказательств того, что вредоносный код фактически использовался для кражи токенов или данных.

Тем не менее, Кирхмайер пишет в блоге, что ETHcode имеет 6000 установок, и что запрос на внесение изменений, который мог быть развернут как часть автоматического обновления, мог распространиться `на тысячи систем разработчиков`.

Это потенциально вызывает беспокойство, и некоторые разработчики предполагают, что такие виды эксплуатации происходят часто в криптоиндустрии, поскольку отрасль сильно зависит от разработки с открытым исходным кодом. `Слишком много кода и недостаточно глаз на нем.`

По словам разработчика Ethereum и соучредителя NUMBER GROUP Зака Коула, многие разработчики устанавливают пакеты с открытым исходным кодом, не проверяя их должным образом.

`Слишком легко для кого-то вставить что-то вредоносное,` - сказал он Decrypt. `Это может быть пакет npm, браузерное расширение, что угодно.`

Недавние громкие примеры этого включают злоупотребление с набором Ledger Connect в декабре 2023 года, а также обнаружение в прошлом декабре вредоносного ПО в библиотеке web3.js от Solana.

`Слишком много кода и недостаточно глаз на нем,` добавляет Коу. `Большинство людей просто предполагают, что все безопасно, потому что это популярно или существует уже какое-то время, но это ничего не значит.`

Коул утверждает, что, хотя такое происходит не впервые, `поверхность атаки увеличивается`, потому что все больше и больше разработчиков используют инструменты с открытым исходным кодом.

`Также учтите, что есть целые склады, полные агентов КНДР, чья работа состоит в осуществлении этих атак,` - говорит он.

Хотя Коул предполагает, что, возможно, больше вредоносного кода скрывается, чем многие разработчики осознают, Кирхмайер сообщил Decrypt, что, по его оценкам, `успешные попытки очень редки.`

Это приводит к вопросу о том, что разработчики могут сделать, чтобы уменьшить свои шансы на использование скомпрометированного кода, причем ReversingLabs рекомендует им проверять личность и историю участников, прежде чем загружать что-либо.

Компания также предложила разработчикам просматривать файлы, такие как package.json, чтобы оценить новые зависимости, что также поддерживает Зак Коул.

`Что помогает, так это закрепление зависимостей, чтобы вы не подтягивали случайные новые вещи каждый раз, когда вы собираете,` - сказал он.

Коул также рекомендовал использовать инструменты, которые сканируют на наличие странного поведения или подозрительных поддерживателей, а также следить за любыми пакетами, которые могут внезапно сменить владельца или обновиться с неясной целью.

`Также не запускайте инструменты подписания или кошельки на том же компьютере, который вы используете для разработки,` - заключил он. `Просто предполагайте, что ничего не безопасно, если вы не проверили это или не изолировали.`