Thông tin về vụ tấn công mã độc vào ETHcode
Một hacker đã chèn một yêu cầu kéo độc hại vào bộ công cụ mã dành cho các nhà phát triển Ethereum, theo thông tin từ các nhà nghiên cứu tại công ty an ninh mạng ReversingLabs. Mã độc đã được tích hợp vào một bản cập nhật cho ETHcode, một bộ công cụ mã nguồn mở mà các nhà phát triển Ethereum sử dụng để xây dựng và triển khai các hợp đồng thông minh cũng như dapps tương thích với EVM.
Chi tiết về mã độc
Một bài viết trên blog của ReversingLabs tiết lộ rằng hai dòng mã độc đã được chôn giấu trong một yêu cầu kéo trên GitHub, bao gồm 43 cam kết và 4.000 dòng cập nhật, chủ yếu liên quan đến việc thêm một khung thử nghiệm và các tính năng mới. Bản cập nhật này đã được thêm vào GitHub vào ngày 17 tháng 6 bởi Airez299, một người dùng không có lịch sử hoạt động trước đó.
Yêu cầu kéo đã được phân tích bởi AI reviewer của GitHub và các thành viên của nhóm 7finney, nhóm chịu trách nhiệm phát triển ETHcode. Chỉ có những thay đổi nhỏ được yêu cầu, và cả 7finney lẫn AI scanner đều không phát hiện điều gì đáng ngờ.
Airez299 đã khéo léo che giấu bản chất của dòng mã độc đầu tiên bằng cách đặt tên tương tự như một tệp đã tồn tại, đồng thời làm rối và che khuất mã, khiến nó khó đọc hơn. Dòng mã thứ hai có chức năng kích hoạt dòng đầu tiên, mà theo ReversingLabs, cuối cùng có mục đích tạo ra một chức năng tự động (một Powershell) để tải xuống và vận hành một tập lệnh từ một dịch vụ lưu trữ tệp công cộng.
Nguy cơ và tác động
ReversingLabs vẫn đang điều tra chính xác tập lệnh này làm gì, mặc dù họ đang làm việc dưới giả định rằng nó “được dự định để đánh cắp tài sản crypto được lưu trữ trên máy của nạn nhân hoặc, thay vào đó, làm tổn hại đến các hợp đồng Ethereum đang được phát triển bởi người dùng của phần mở rộng.”
Trong cuộc trò chuyện với Decrypt, tác giả của blog, Petar Kirhmajer, cho biết ReversingLabs không có dấu hiệu hoặc bằng chứng nào cho thấy mã độc đã thực sự được sử dụng để đánh cắp token hoặc dữ liệu. Tuy nhiên, Kirhmajer viết trong blog rằng ETHcode có 6.000 lượt cài đặt, và yêu cầu kéo—nếu được triển khai như một phần của bản cập nhật tự động—có thể đã lan rộng “đến hàng nghìn hệ thống phát triển.”
Những khuyến nghị cho các nhà phát triển
Điều này gây ra mối lo ngại, và một số nhà phát triển cho rằng loại khai thác này xảy ra rất nhiều trong lĩnh vực crypto, vì ngành công nghiệp phụ thuộc rất nhiều vào phát triển mã nguồn mở. Theo nhà phát triển Ethereum và đồng sáng lập NUMBER GROUP, Zak Cole, nhiều nhà phát triển cài đặt các gói mã nguồn mở mà không kiểm tra chúng một cách đúng đắn.
“Thật quá dễ dàng để ai đó chèn vào một cái gì đó độc hại,” anh nói với Decrypt. “Có thể là một gói npm, một phần mở rộng trình duyệt, bất cứ thứ gì.”
Cole cũng khuyến nghị sử dụng các công cụ quét để phát hiện hành vi kỳ lạ hoặc những người bảo trì đáng ngờ, đồng thời cũng chú ý đến bất kỳ gói nào có thể đột ngột thay đổi chủ sở hữu hoặc cập nhật mà không báo trước. “Cũng đừng chạy các công cụ ký hoặc ví trên cùng một máy mà bạn sử dụng để xây dựng,” anh kết luận. “Chỉ cần giả định rằng không có gì là an toàn trừ khi bạn đã kiểm tra hoặc sandbox nó.”
