惡意 Pull 請求被插入以太坊代碼擴展：研究

一名黑客將惡意拉取請求插入到代碼擴展中以太坊網絡安全公司 ReversingLabs 的研究人員表示。

惡意代碼被插入到ETH代碼，以太坊開發者用來構建和部署 EVM 兼容的開源工具套件智能合約 和 去中心化應用.

答ReversingLABs 的博客發現在 GitHub 拉取請求中隱藏著兩行惡意代碼，該請求包含 43 次提交和 4,000 行更新，主要涉及添加新的測試框架和功能。

該更新於 6 月 17 日由之前沒有更新歷史的用戶 Airez299 添加到 GitHub。

該拉取請求由 GitHub 的 AI 審核員和負責創建 ETHcode 的團隊 7finney 的成員進行分析。

只要求進行微小的修改，7finney 和 AI 掃描儀均未發現任何可疑之處。

Airez299 能夠通過賦予第一行惡意代碼與現有文件相似的名稱來掩蓋其性質，同時還會混淆和打亂代碼本身，使其更難閱讀。

第二行代碼用於激活第一行代碼，根據 ReversingLabs 的說法，其最終目的是創建一個自動化功能（PoWershell），從公共文件託管服務下載並運行批處理腳本。

ReversingLabs 仍在調查該腳本的具體功能，儘管它的假設是“旨在竊取受害者機器上存儲的加密資產，或者破壞擴展用戶正在開發的以太坊合約”。

正在說話解密博客作者 PEtar Kirhmajer 報導稱，ReversingLabs 沒有跡像或證據表明該惡意代碼實際上已被用來竊取代幣或數據。

然而，Kirhmajer 在博客中寫道，ethcode 的安裝量為 6,000 次，並且該拉取請求（作為自動更新的一部分推出）可能已經傳播到“數千個開發者係統”。

這可能令人擔憂，一些開發人員認為，由於加密行業嚴重依賴開源開發，這種漏洞在加密領域經常發生。

“代碼太多，但關注的人不夠。”

據以太坊開發人員兼 NUMBER GROUP 聯合創始人 Zak Cole 稱，許多開發人員在安裝開源軟件包時並沒有對其進行適當的檢查。

“有人很容易就會把惡意的東西塞進去，”他告訴解密。 “可以是 npm 包、瀏覽器擴展，等等。”

最近引人注目的例子包括自 2023 年 12 月起的 Ledger Connect Kit 漏洞以及去年 12 月發現的Solana 的 web3.js 開源庫中的惡意軟件.

“代碼太多，監管力度不夠，”科爾補充道。 “大多數人只是因為某個東西很流行或者已經存在一段時間了，就認定它是安全的，但這並不意味著什麼。”

科爾肯定地說，雖然這種事情並不是什麼新鮮事，但由於越來越多的開發人員正在使用開源工具，“可解決的攻擊面正在擴大”。

“此外，請記住，整個倉庫裡都擠滿了朝鮮特工，他們的全職工作就是執行這些任務，”他說。

雖然 Cole 認為潛伏的惡意代碼可能比許多開發人員意識到的要多，但 Kirhmajer 告訴解密他認為“成功的嘗試非常罕見”。

這就引出了一個問題：開發人員可以做些什麼來減少使用受損代碼的機會，ReversingLabs 建議他們在下載任何東西之前驗證貢獻者的身份和歷史記錄。

該公司還建議開發人員檢查 package.json 等文件以評估新的依賴項，這也是 Zak Cole 所提倡的。

他說：“有幫助的是鎖定你的依賴關係，這樣你就不會在每次構建時隨機引入新的東西。”

Cole 還建議使用掃描奇怪行為或粗略維護者的工具，同時留意任何可能突然轉手或突然更新的軟件包。

他總結道：“另外，不要在你用來構建東西的機器上運行簽名工具或錢包。除非你檢查過或進行過沙盒測試，否則就假設任何東西都是不安全的。”