Ondsindet Pull Request i Ethereum Kodeudvidelse
En hacker indsatte en ondsindet pull request i en kodeudvidelse for Ethereum-udviklere, ifølge forskere fra cybersikkerhedsfirmaet ReversingLabs. Den ondsindede kode blev indsat i en opdatering til ETHcode, et open source værktøjssuite, der bruges af Ethereum-udviklere til at bygge og implementere EVM-kompatible smart contracts og dapps.
Detaljer om Angrebet
En blog fra ReversingLabs afslører, at to ondsindede linjer kode var begravet i en GitHub pull request, der bestod af 43 commits og 4.000 opdaterede linjer, og som primært handlede om at tilføje et nyt testframework og funktioner. Opdateringen blev tilføjet til GitHub den 17. juni af Airez299, en bruger uden tidligere historik.
“Pull requesten blev analyseret af GitHubs AI-gennemgangsprogram og af medlemmer af 7finney, gruppen ansvarlig for at skabe ETHcode. Kun mindre ændringer blev anmodet om, og hverken 7finney eller AI-scanneren fandt noget mistænkeligt.”
Airez299 var i stand til at skjule karakteren af den første ondsindede linje kode ved at give den et navn, der ligner et eksisterende filnavn, samtidig med at koden blev obfuskeret og blandet, hvilket gjorde den sværere at læse. Den anden linje kode fungerer til at aktivere den første, som ifølge ReversingLabs i sidste ende har til formål at skabe en automatiseret funktion (en PowerShell), der downloader og kører et batch-script fra en offentlig filhostingstjeneste.
Mulige Konsekvenser
ReversingLabs undersøger stadig, hvad dette script præcist gør, selvom det arbejder under antagelsen om, at det “er beregnet til at stjæle kryptovalutaaktiver” eller kompromittere de Ethereum-kontrakter, der er under udvikling af brugere af udvidelsen. I et interview med Decrypt rapporterede blogforfatteren Petar Kirhmajer, at ReversingLabs ikke har nogen indikation eller bevis for, at den ondsindede kode faktisk er blevet brugt til at stjæle tokens eller data.
“ETHcode har 6.000 installationer, og pull requesten – som ville være blevet rullet ud som en del af en automatisk opdatering – muligvis er blevet spredt til tusindvis af udviklersystemer.”
Dette er potentielt bekymrende, og nogle udviklere antyder, at denne slags udnyttelse sker ofte i kryptovaluta, da branchen i høj grad er afhængig af open source-udvikling.
Udviklernes Udfordringer
Ifølge Ethereum-udvikler og NUMBER GROUP medstifter Zak Cole, installerer mange udviklere open source-pakker uden at tjekke dem ordentligt. “Det er alt for nemt for nogen at smide noget ondsindet ind,” sagde han til Decrypt. “Det kan være en npm-pakke, en browserudvidelse, hvad som helst.”
Nylige højprofilerede eksempler på dette inkluderer Ledger Connect Kit-udnyttelsen fra december 2023 samt opdagelsen i december sidste år af malware i Solanas web3.js open source-bibliotek.
“Der er for meget kode og ikke nok øjne på det. De fleste mennesker antager bare, at ting er sikre, fordi de er populære eller har været omkring i et stykke tid, men det betyder ikke noget.”
Cole bekræfter, at selvom denne slags ting ikke er særligt ny, “spredes den adresserbare angrebsflade”, fordi flere og flere udviklere bruger open source-værktøjer. “Husk også, at der er hele lagre fyldt med DPRK-operatører, hvis fuldtidsjob er at udføre disse udnyttelser,” siger han.
Forebyggelse af Kompromitteret Kode
Mens Cole antyder, at der sandsynligvis er mere ondsindet kode, der lurer rundt, end mange udviklere sandsynligvis indser, fortalte Kirhmajer Decrypt, at han i sin vurdering mener, at “succesfulde forsøg er meget sjældne.” Dette fører til spørgsmålet om, hvad udviklere kan gøre for at reducere deres chancer for at bruge kompromitteret kode.
ReversingLabs anbefaler, at de verificerer identiteten og historikken for bidragsydere, før de downloader noget. Firmaet foreslog også, at udviklere gennemgår filer som package.json for at evaluere nye afhængigheder, hvilket er noget, som Zak Cole også anbefaler.
“Hvad der hjælper, er at låse dine afhængigheder, så du ikke trækker tilfældige nye ting ind hver gang du bygger.”
Cole anbefalede også at bruge værktøjer, der scanner for mærkelig adfærd eller tvivlsomme vedligeholdere, samtidig med at man holder øje med eventuelle pakker, der pludselig kan skifte hænder eller opdatere uden varsel. “Kør heller ikke signeringsværktøjer eller wallets på den samme maskine, du bruger til at bygge ting,” konkluderede han. “Antag bare, at intet er sikkert, medmindre du har tjekket det eller sandkasset det.”
