การแทรกโค้ดอันตรายใน ETHcode
แฮกเกอร์ได้แทรกการขอ Pull Request ที่เป็นอันตรายเข้าไปในส่วนขยายโค้ดสำหรับนักพัฒนา Ethereum ตามข้อมูลจากนักวิจัยที่บริษัทความปลอดภัยไซเบอร์ ReversingLabs. โค้ดที่เป็นอันตรายถูกแทรกเข้าไปในอัปเดตสำหรับ ETHcode ซึ่งเป็นชุดเครื่องมือโอเพ่นซอร์สที่นักพัฒนา Ethereum ใช้ในการสร้างและปรับใช้สัญญาอัจฉริยะและ dapps ที่เข้ากันได้กับ EVM.
รายละเอียดของการโจมตี
บล็อกจาก ReversingLabs เปิดเผยว่ามีโค้ดที่เป็นอันตรายสองบรรทัดถูกฝังอยู่ในการขอ Pull Request บน GitHub ซึ่งประกอบด้วย 43 คอมมิตและ 4,000 บรรทัดที่ได้รับการอัปเดต โดยมีจุดมุ่งหมายหลักในการเพิ่มกรอบการทดสอบและความสามารถใหม่.
การอัปเดตนี้ถูกเพิ่มลงใน GitHub เมื่อวันที่ 17 มิถุนายน โดยผู้ใช้ชื่อ Airez299 ซึ่งไม่มีประวัติการใช้งานมาก่อน. การขอ Pull Request ถูกวิเคราะห์โดยผู้ตรวจสอบ AI ของ GitHub และสมาชิกของกลุ่ม 7finney ซึ่งรับผิดชอบในการสร้าง ETHcode. มีการร้องขอการเปลี่ยนแปลงเพียงเล็กน้อย โดยทั้ง 7finney และ AI scanner ไม่พบสิ่งที่น่าสงสัย.
การทำงานของโค้ดอันตราย
Airez299 สามารถทำให้ลักษณะของบรรทัดโค้ดที่เป็นอันตรายบรรทัดแรกไม่ชัดเจนโดยการตั้งชื่อให้คล้ายกับไฟล์ที่มีอยู่แล้ว ในขณะที่ยังทำให้โค้ดนั้นซับซ้อนและยุ่งเหยิง ทำให้ยากต่อการอ่าน. บรรทัดที่สองของโค้ดทำหน้าที่ในการเปิดใช้งานบรรทัดแรก ซึ่งตามที่ ReversingLabs ระบุว่ามีจุดประสงค์สุดท้ายในการสร้างฟังก์ชันอัตโนมัติ (Powershell) ที่ดาวน์โหลดและดำเนินการสคริปต์ชุดจากบริการโฮสต์ไฟล์สาธารณะ.
ผลกระทบและการตอบสนอง
ReversingLabs ยังคงตรวจสอบว่าสคริปต์นี้ทำอะไรได้บ้าง แม้ว่าจะทำงานภายใต้สมมติฐานว่ามัน “มีจุดประสงค์เพื่อขโมยสินทรัพย์คริปโตที่เก็บอยู่ในเครื่องของเหยื่อหรือในทางกลับกัน ทำให้สัญญา Ethereum ที่กำลังพัฒนาโดยผู้ใช้ส่วนขยายถูกบุกรุก”.
ในการสัมภาษณ์กับ Decrypt ผู้เขียนบล็อก Petar Kirhmajer รายงานว่า ReversingLabs ไม่มีสัญญาณหรือหลักฐานว่ามีการใช้โค้ดที่เป็นอันตรายเพื่อขโมยโทเค็นหรือข้อมูล.
อย่างไรก็ตาม Kirhmajer เขียนในบล็อกว่า ETHcode มีการติดตั้ง 6,000 ครั้ง และการขอ Pull Request ซึ่งจะถูกนำไปใช้เป็นส่วนหนึ่งของการอัปเดตอัตโนมัติ อาจแพร่กระจาย “ไปยังระบบของนักพัฒนาหลายพันคน” ซึ่งอาจเป็นเรื่องที่น่ากังวล.
การป้องกันการโจมตี
นักพัฒนาบางคนแนะนำว่าการโจมตีประเภทนี้เกิดขึ้นบ่อยในคริปโต เนื่องจากอุตสาหกรรมนี้พึ่งพาการพัฒนาโอเพ่นซอร์สอย่างมาก. ตามที่นักพัฒนา Ethereum และผู้ร่วมก่อตั้ง NUMBER GROUP Zak Cole กล่าวว่า นักพัฒนาหลายคนติดตั้งแพ็คเกจโอเพ่นซอร์สโดยไม่ตรวจสอบอย่างถูกต้อง.
“มันง่ายเกินไปที่ใครบางคนจะใส่สิ่งที่เป็นอันตราย” เขากล่าวกับ Decrypt.
ตัวอย่างที่มีชื่อเสียงล่าสุดของเรื่องนี้รวมถึงการโจมตี Ledger Connect Kit ในเดือนธันวาคม 2023 รวมถึงการค้นพบมัลแวร์ในห้องสมุดโอเพ่นซอร์ส web3.js ของ Solana ในเดือนธันวาคมที่ผ่านมา.
“มีโค้ดมากเกินไปและไม่มีคนดูแลเพียงพอ” Cole กล่าวเสริม “คนส่วนใหญ่เพียงแค่สมมติว่าสิ่งต่างๆ ปลอดภัยเพราะมันเป็นที่นิยม หรือมีมานานแล้ว แต่ไม่ได้หมายความว่าอย่างนั้น”.
ข้อเสนอแนะในการป้องกัน
Cole ยืนยันว่า แม้ว่าสิ่งนี้จะไม่ใช่เรื่องใหม่โดยเฉพาะ “แต่พื้นที่ที่สามารถถูกโจมตีได้กำลังขยายตัว” เนื่องจากนักพัฒนามากขึ้นเรื่อยๆ ใช้เครื่องมือโอเพ่นซอร์ส.
ReversingLabs แนะนำให้พวกเขายืนยันตัวตนและประวัติของผู้มีส่วนร่วมก่อนดาวน์โหลดสิ่งใด. บริษัทยังแนะนำให้นักพัฒนาตรวจสอบไฟล์เช่น package.json เพื่อประเมินการพึ่งพาใหม่ ซึ่งเป็นสิ่งที่ Zak Cole ก็สนับสนุน.
“สิ่งที่ช่วยได้คือการล็อคการพึ่งพาของคุณเพื่อไม่ให้คุณดึงสิ่งใหม่ๆ แบบสุ่มทุกครั้งที่คุณสร้าง” เขากล่าว.
Cole ยังแนะนำให้ใช้เครื่องมือที่สแกนหาพฤติกรรมที่แปลกหรือผู้ดูแลที่น่าสงสัย ในขณะที่ยังต้องระวังแพ็คเกจใดๆ ที่อาจเปลี่ยนมือหรืออัปเดตอย่างกะทันหัน.
“นอกจากนี้อย่ารันเครื่องมือเซ็นชื่อหรือกระเป๋าเงินบนเครื่องเดียวกับที่คุณใช้สร้างสิ่งต่างๆ” เขาสรุป “เพียงแค่สมมติว่าไม่มีอะไรปลอดภัยเว้นแต่คุณจะตรวจสอบหรือแยกมันออกมา”.
