Pagpasok ng Mapanlinlang na Code sa ETHcode
Ayon sa mga mananaliksik mula sa cybersecurity firm na ReversingLabs, isang hacker ang nagpasok ng mapanlinlang na pull request sa isang code extension para sa mga developer ng Ethereum. Ang mapanlinlang na code ay ipinasok sa isang update para sa ETHcode, isang open-source na suite ng mga tool na ginagamit ng mga developer ng Ethereum upang bumuo at mag-deploy ng mga EVM-compatible na smart contracts at dapps.
Detalye ng Mapanlinlang na Pull Request
Sa isang blog mula sa ReversingLabs, inilarawan na dalawang mapanlinlang na linya ng code ang nakatago sa isang GitHub pull request na binubuo ng 43 commits at 4,000 na na-update na linya, na nakatuon sa pagdaragdag ng isang bagong testing framework at mga kakayahan.
Ang update ay idinagdag sa GitHub noong Hunyo 17 ng isang user na may pangalang Airez299, na walang nakaraang kasaysayan. Sinuri ng AI reviewer ng GitHub at ng mga miyembro ng 7finney, ang grupong responsable sa paglikha ng ETHcode, ang pull request. Tanging mga menor na pagbabago lamang ang hiniling, at walang nakitang kahina-hinala ang 7finney o ang AI scanner.
Layunin ng Mapanlinlang na Code
Nakapagtagumpay si Airez299 na itago ang kalikasan ng unang mapanlinlang na linya ng code sa pamamagitan ng pagbibigay dito ng katulad na pangalan sa isang umiiral na file, habang pinahirap din ang code mismo, na nagpapahirap sa pagbabasa. Ang pangalawang linya ng code ay nag-aactivate sa una, na ayon sa ReversingLabs ay may layuning lumikha ng isang automated function (isang Powershell) na nagda-download at nagpapatakbo ng isang batch script mula sa isang pampublikong file-hosting service.
Posibleng Epekto at Pagsusuri
Patuloy na iniimbestigahan ng ReversingLabs kung ano talaga ang ginagawa ng script na ito, bagaman nagtatrabaho ito sa ilalim ng palagay na ito ay “nakatakdang magnakaw ng mga crypto assets na nakaimbak sa makina ng biktima o, sa alternatibo, makompromiso ang mga kontratang Ethereum na nasa ilalim ng pag-unlad ng mga gumagamit ng extension.”
Sa pakikipag-usap sa Decrypt, iniulat ng may-akda ng blog na si Petar Kirhmajer na walang indikasyon o ebidensya ang ReversingLabs na ang mapanlinlang na code ay talagang ginamit upang magnakaw ng mga token o data. Gayunpaman, isinulat ni Kirhmajer sa blog na ang ETHcode ay may 6,000 na install, at ang pull request—na sana ay naipakalat bilang bahagi ng isang awtomatikong update—ay maaaring kumalat “sa libu-libong sistema ng developer.”
Mga Pagsasamantala sa Open-Source na Pag-unlad
Ito ay maaaring maging nakababahala, at ilang mga developer ang nagmumungkahi na ang ganitong uri ng pagsasamantala ay madalas na nangyayari sa crypto, dahil ang industriya ay labis na umaasa sa open-source na pag-unlad. Ayon sa developer ng Ethereum at co-founder ng NUMBER GROUP na si Zak Cole, maraming mga developer ang nag-iinstall ng mga open-source na package nang hindi ito maayos na sinusuri.
“Napakadali para sa isang tao na makapasok ng isang mapanlinlang na bagay,” sinabi niya sa Decrypt. “Maaaring ito ay isang npm package, isang browser extension, anuman.”
Ang mga kamakailang mataas na profile na halimbawa nito ay kinabibilangan ng Ledger Connect Kit exploit mula Disyembre 2023, pati na rin ang pagtuklas noong nakaraang Disyembre ng malware sa web3.js open-source library ng Solana. “Sobrang dami ng code at hindi sapat ang mga mata na nakatingin dito,” dagdag ni Cole. “Karamihan sa mga tao ay nag-aassume na ligtas ang mga bagay dahil ito ay sikat o matagal nang nandiyan, ngunit hindi iyon nangangahulugan ng anuman.”
Mga Hakbang para sa mga Developer
Pinagtibay ni Cole na, habang ang ganitong uri ng bagay ay hindi partikular na bago, “ang addressable surface of attack ay lumalawak” dahil mas maraming mga developer ang gumagamit ng mga open-source na tool. “Isipin din na may mga buong bodega ng mga DPRK operatives na ang buong oras na trabaho ay ang magsagawa ng mga exploit na ito,” sabi niya.
Habang iminungkahi ni Cole na marahil ay mas maraming mapanlinlang na code ang nagkukubli kaysa sa alam ng maraming developer, sinabi ni Kirhmajer sa Decrypt na, sa kanyang pagtataya, “napakabihirang mangyari ang mga matagumpay na pagtatangka.”
Ito ay nagdudulot ng tanong kung ano ang maaaring gawin ng mga developer upang mabawasan ang kanilang mga pagkakataon na gumamit ng compromised na code, kung saan inirerekomenda ng ReversingLabs na suriin nila ang pagkakakilanlan at kasaysayan ng mga contributor bago mag-download ng anumang bagay.
Inirekomenda rin ng firm na suriin ng mga developer ang mga file tulad ng package.json upang masuri ang mga bagong dependencies, na isang bagay na sinusuportahan din ni Zak Cole.
“Ang nakakatulong ay ang pag-lock down ng iyong mga dependencies upang hindi ka nagdadala ng mga random na bagong bagay sa tuwing bumubuo ka,” sabi niya. Inirekomenda rin ni Cole ang paggamit ng mga tool na nag-scan para sa kakaibang pag-uugali o mga sketchy maintainers, habang nagmamasid din para sa anumang mga package na maaaring biglang magpalit ng kamay o mag-update nang walang babala. “Huwag ding patakbuhin ang mga signing tools o wallets sa parehong makina na ginagamit mo upang bumuo ng mga bagay,” tinapos niya. “Isipin na walang ligtas maliban kung nasuri mo ito o na-sandbox mo ito.”
