Ond Pull Request Innført i Ethereum Kodeutvidelse: Forskning

Ondsinnet Pull Request i Ethereum-utvikling

En hacker har innført en ondsinnet pull request i en kodeutvidelse for Ethereum-utviklere, ifølge forskere fra cybersikkerhetsfirmaet ReversingLabs. Den ondsinnede koden ble innført i en oppdatering for ETHcode, et åpen kildekodeverktøysett som brukes av Ethereum-utviklere for å bygge og distribuere EVM-kompatible smarte kontrakter og dapps.

Detaljer om den ondsinnede koden

En blogg av ReversingLabs avslører at to ondsinnede kodelinjer var begravd i en GitHub pull request som bestod av 43 commits og 4 000 oppdaterte linjer, og som primært handlet om å legge til et nytt testrammeverk og nye funksjoner. Oppdateringen ble lagt til GitHub 17. juni av Airez299, en bruker uten tidligere historikk.

Pull requesten ble analysert av GitHubs AI-revisor og av medlemmer av 7finney, gruppen som er ansvarlig for å utvikle ETHcode. Bare mindre endringer ble forespurt, og verken 7finney eller AI-skanneren fant noe mistenkelig. Airez299 klarte å skjule naturen til den første ondsinnede kodelinjen ved å gi den et lignende navn som en eksisterende fil, samtidig som han obfuskerte og blandet koden, noe som gjorde den vanskeligere å lese.

Den andre kodelinjen fungerer for å aktivere den første, som ifølge ReversingLabs til slutt har som formål å opprette en automatisert funksjon (en Powershell) som laster ned og kjører et batch-skript fra en offentlig filvertstjeneste.

Potensielle konsekvenser

ReversingLabs undersøker fortsatt hva dette skriptet faktisk gjør, selv om de jobber under antagelsen om at det er ment å stjele kryptovalutaer lagret på offerets maskin eller, alternativt, kompromittere Ethereum-kontraktene under utvikling av brukere av utvidelsen.

I et intervju med Decrypt rapporterte bloggens forfatter Petar Kirhmajer at ReversingLabs ikke har noen indikasjoner eller bevis på at den ondsinnede koden faktisk har blitt brukt til å stjele tokens eller data.

Imidlertid skriver Kirhmajer i bloggen at ETHcode har 6 000 installasjoner, og at pull requesten – som ville blitt rullet ut som en del av en automatisk oppdatering – kan ha spredt seg «til tusenvis av utviklersystemer.» Dette er potensielt bekymringsfullt, og noen utviklere antyder at denne typen utnyttelse skjer ofte i kryptovaluta, gitt at bransjen er sterkt avhengig av åpen kildekodeutvikling.

Utviklernes ansvar

Ifølge Ethereum-utvikler og medgründer av NUMBER GROUP, Zak Cole, installerer mange utviklere åpen kildekodepakker uten å sjekke dem ordentlig. «Det er altfor lett for noen å smyge inn noe ondsinnet,» sa han til Decrypt. «Det kan være en npm-pakke, en nettleserutvidelse, hva som helst.»

Nylige høyprofilerte eksempler på dette inkluderer Ledger Connect Kit-utnyttelsen fra desember 2023, samt oppdagelsen i desember i fjor av skadelig programvare i Solanas web3.js åpen kildekodebibliotek. «Det er for mye kode og ikke nok øyne på den,» legger Cole til. «De fleste antar bare at ting er trygge fordi de er populære eller har vært rundt en stund, men det betyr ikke noe.»

Cole bekrefter at, selv om denne typen problemer ikke er spesielt nye, «den adresserbare angrepsflaten sprer seg» fordi flere og flere utviklere bruker åpen kildekodeverktøy. «Husk også at det finnes hele lagre fulle av DPRK-operatører hvis fulltidsjobb er å utføre disse utnyttelsene,» sier han.

Forebygging av kompromittert kode

Mens Cole antyder at det sannsynligvis finnes mer ondsinnet kode som lurer rundt enn mange utviklere kanskje innser, fortalte Kirhmajer til Decrypt at, etter hans vurdering, «vellykkede forsøk er veldig sjeldne.» Dette fører til spørsmålet om hva utviklere kan gjøre for å redusere sjansene for å bruke kompromittert kode, med ReversingLabs som anbefaler at de verifiserer identiteten og historikken til bidragsytere før de laster ned noe.

Firmaet foreslo også at utviklere gjennomgår filer som package.json for å evaluere nye avhengigheter, noe som er noe Zak Cole også anbefaler. «Det som hjelper, er å låse ned avhengighetene dine slik at du ikke trekker inn tilfeldige nye ting hver gang du bygger,» sa han.

Cole anbefalte også å bruke verktøy som skanner for merkelig oppførsel eller mistenkelige vedlikeholdere, samtidig som man ser etter eventuelle pakker som plutselig kan skifte eierskap eller oppdatere uten forvarsel. «Ikke kjør signeringsverktøy eller lommebøker på samme maskin som du bruker til å bygge ting,» konkluderte han. «Bare anta at ingenting er trygt med mindre du har sjekket det eller sandkasset det.»

Relaterte innlegg

Siste fra Blog

Verdens 11. rikeste: Satoshi Nakamoto overtar Michael Dell med en Bitcoin-formue på 129 milliarder dollar

Bitcoin og Satoshi Nakamoto Mens Bitcoin svever over 117 700 dollar-merket og nærmer seg 118 000 dollar, rangerer dens unnvikende skaper, Satoshi Nakamoto, nå som den 11. rikeste personen på jorden—og går

Genius-loven gir stablecoin-innehavere prioritet ved konkurs, noe som kan øke risikoen for banksystemet

Genius-loven og Stablecoins Genius-loven, som ble vedtatt av det amerikanske senatet, gir stablecoin-innehavere prioriterte krav på sine backing-aktiva når utstederen går konkurs. Dette har tiltrukket seg oppmerksomhet fra bank- og juridiske kretser.

Ledgers Fargerike Tilbud: 30% Rabatt på Utvalgte Nano Hardware Wallets

Ledger Lynsalg: 30% Rabatt på Fargerike Hardware Wallets Ledger har nettopp annonsert et lynsalg som varer til 15. juli kl. 19.00 CET. I dette begrensede tidsvinduet kan du få 30% rabatt på

Binance Feirer 8 År med Rekordhøye 280 Millioner Brukere

Kryptovalutabørsen Binance når 280 millioner registrerte brukere Kryptovalutabørsen Binance har nådd 280 millioner registrerte brukere i forbindelse med sitt åttende jubileum. Denne milepælen fremhever plattformens eksplosive vekst og globale innflytelse innen digitale

Europeisk verdipapirtilsyn advarer kryptoselskaper mot å bruke sin MiCA-status som reklameverktøy

Advarsel fra ESMA til kryptoselskaper Det europeiske verdipapirtilsynet, ESMA, har advart kryptoselskaper mot å feilaktig promotere sin MiCA-regulerte status for å unngå å villede investorer. Den europeiske verdipapir- og markedstilsynsmyndigheten sendte en

Binance Utviklet Kode for Trump-Støttet USD1 Stablecoin Før CZs Benådningsforsøk

Binance og USD1-Stablecoin Binance, verdens største digitale eiendelutveksling, spilte en kritisk rolle i utviklingen av USD1-stablecoin, som ble lansert av Trump-familiens World Liberty Financial Inc. Binance skrev smartkontrakten som regulerer USD1, noe

AI-selskaper snur seg mot Bitcoin-gruvedrift med datasenterkraft

Nøkkelpunkter AI-selskaper bruker nå overskuddskraft fra datasentre til å mine Bitcoin — et trekk som kan bidra til å stabilisere elektrisitetsnettet, forbedre energieffektiviteten og styrke økonomien i begge sektorer, ifølge bransjeanalytikere. I

Paradigm satser tungt på Agora: Er «white label stablecoin» en ny historie eller en gammel innpakning?

Finansiering og Ekspansjon Stablecoin-startupen Agora kunngjorde nylig at de har fullført en finansieringsrunde på 50 millioner dollar i Series A, ledet av Paradigm og etterfulgt av Dragonfly. Midlene vil bli brukt til

Kunnskap og kompetanse hos ansatte som gir informasjon om kryptoaktiva – ESMA-kriterier publisert

Innledning Dokumentet gir konkret veiledning om minimumsnivået for kunnskap og kompetanse hos ansatte, gjennom eksempler som inkluderer profesjonell kvalifikasjon og relevant erfaring for å gi informasjon eller råd. Det behandler også spesifikke

EU flagger Maltas MiCA-kryptolisenser — Kan Shibarium være neste?

ESMAs Vurdering av Maltas Lisensieringsprosedyrer Den europeiske verdipapir- og markedstilsynsmyndigheten (ESMA) har publisert sin vurdering av Maltas lisensieringsprosedyrer for kryptovalutatjenesteleverandører, og identifiserer viktige mangler i tilnærmingen til Malta Financial Services Authority (MFSA).