Kyberturvallisuusuhka Ethereum-kehittäjille
Kyberturvallisuusyritys ReversingLabs on paljastanut, että hakkeri lisäsi pahantahtoisen pull requestin Ethereum-kehittäjille tarkoitetun koodilaajennuksen koodiin. Pahantahtoinen koodi lisättiin päivitykseen ETHcodeen, avoimen lähdekoodin työkalupakettiin, jota Ethereum-kehittäjät käyttävät EVM-yhteensopivien älysopimusten ja dappien rakentamiseen ja käyttöönottoon.
Pahantahtoisen koodin piilottaminen
ReversingLabsin blogissa kerrotaan, että kaksi pahantahtoista koodiriviä oli piilotettu GitHubin pull requestiin, joka koostui 43 commitista ja 4 000 päivitetystä rivistä. Tämä pull request keskittyi pääasiassa uuden testauskehyksen ja -ominaisuuksien lisäämiseen. Päivitys lisättiin GitHubiin 17. kesäkuuta käyttäjän Airez299 toimesta, jolla ei ollut aiempaa historiaa.
”Airez299 onnistui peittämään ensimmäisen pahantahtoisen koodirivin luonteen antamalla sille saman nimen kuin olemassa olevalle tiedostolle, samalla kun se myös hämärsi ja sekoitti itse koodia, mikä teki siitä vaikeammin luettavaa.”
Toinen koodirivi aktivoi ensimmäisen, ja ReversingLabsin mukaan sen tarkoituksena on luoda automaattinen toiminto (Powershell), joka lataa ja suorittaa eräskriptin julkiselta tiedostojen isännöintipalvelulta. ReversingLabs tutkii edelleen, mitä tämä skripti tarkalleen tekee, mutta se työskentelee oletuksella, että se ”on tarkoitettu varastamaan uhriin tallennettuja kryptovarantoja tai vaihtoehtoisesti vaarantamaan Ethereum-sopimukset, joita laajennuksen käyttäjät kehittävät.”
Mahdolliset seuraukset ja kehittäjien varoitukset
Decryptille puhuessaan blogin kirjoittaja Petar Kirhmajer raportoi, että ReversingLabsilla ei ole viitteitä tai todisteita siitä, että pahantahtoista koodia olisi todella käytetty tokenien tai tietojen varastamiseen. Kuitenkin Kirhmajer kirjoittaa, että ETHcodea on asennettu 6 000 kertaa, ja että pull request, joka olisi otettu käyttöön osana automaattista päivitystä, on saattanut levitä ”tuhansiin kehittäjäjärjestelmiin.”
”On liian helppoa, että joku saa sisällytettyä jotain pahantahtoista,” sanoi Ethereum-kehittäjä ja NUMBER GROUPin perustaja Zak Cole. ”Se voi olla npm-paketti, selainlaajennus, mitä tahansa.”
Viime aikojen korkean profiilin esimerkkejä tästä ovat Ledger Connect Kit -hyökkäys joulukuussa 2023 sekä viime joulukuussa Solanan web3.js avoimen lähdekoodin kirjastosta löytynyt haittaohjelma. Cole huomauttaa, että ”koodia on liikaa ja silmiä liian vähän sen päällä.”
Suositukset kehittäjille
ReversingLabs suosittelee, että kehittäjät vahvistavat osallistujien henkilöllisyyden ja historian ennen kuin lataavat mitään. Yritys ehdotti myös, että kehittäjät tarkistavat tiedostoja, kuten package.json, arvioidakseen uusia riippuvuuksia, mikä on myös jotain, jota Zak Cole kannattaa.
”Mikä auttaa, on lukita riippuvuudet, jotta et vedä satunnaisia uusia asioita joka kerta, kun rakennat,” hän sanoi.
Cole suositteli myös käyttämään työkaluja, jotka skannaavat outoa käyttäytymistä tai epäilyttäviä ylläpitäjiä, samalla kun pitää silmällä paketteja, jotka saattavat äkillisesti vaihtaa omistajaa tai päivittyä yllättäen. ”Älä myöskään käytä allekirjoitustyökaluja tai lompakoita samalla koneella, jota käytät asioiden rakentamiseen,” hän päätti. ”Olet vain olettanut, että mikään ei ole turvallista, ellei olet tarkistanut sitä tai eristänyt sitä.”
