悪意のあるプルリクエストの発見
サイバーセキュリティ企業ReversingLabsの研究者によると、ハッカーがEthereum開発者向けのコード拡張に悪意のあるプルリクエストを挿入しました。この悪意のあるコードは、Ethereum開発者がEVM互換のスマートコントラクトやdappsを構築・展開するために使用するオープンソースツールのスイートであるETHcodeの更新に含まれていました。
プルリクエストの詳細
ReversingLabsのブログによると、43のコミットと4,000行の更新からなるGitHubのプルリクエストに、2行の悪意のあるコードが埋め込まれており、主に新しいテストフレームワークと機能の追加に関するものでした。この更新は、以前の履歴がないユーザーAirez299によって6月17日にGitHubに追加されました。
プルリクエストは、GitHubのAIレビュアーとETHcodeを作成したグループ7finneyのメンバーによって分析されました。要求された変更はわずかで、7finneyもAIスキャナーも疑わしい点を見つけませんでした。
悪意のあるコードの機能
Airez299は、最初の悪意のあるコード行の性質を既存のファイルと似た名前を付けることで隠し、コード自体を難読化して読みづらくしました。2行目のコードは最初のコードを起動する機能を持ち、ReversingLabsによれば、最終的には公共のファイルホスティングサービスからバッチスクリプトをダウンロードして実行する自動化機能(Powershell)を作成することを目的としています。
被害の可能性と対策
ReversingLabsは、このスクリプトが正確に何をするのかをまだ調査中ですが、「被害者のマシンに保存された暗号資産を盗むことを意図しているか、あるいは拡張機能のユーザーが開発中のEthereumコントラクトを危険にさらすことを意図している」との仮定のもとで作業しています。
Decryptに語ったブログの著者Petar Kirhmajerは、ReversingLabsが悪意のあるコードが実際にトークンやデータを盗むために使用されたという兆候や証拠を持っていないと報告しました。
しかし、KirhmajerはブログでETHcodeが6,000回インストールされており、自動更新の一部として展開される可能性のあるプルリクエストが「数千の開発者システムに広がった可能性がある」と述べています。これは潜在的に懸念されることであり、一部の開発者は、業界がオープンソース開発に大きく依存しているため、この種の脆弱性が頻繁に発生することを示唆しています。
開発者の意識と対策
Ethereum開発者でNUMBER GROUPの共同創設者であるZak Coleによれば、多くの開発者はオープンソースパッケージを適切に確認せずにインストールしています。「誰かが悪意のあるものを滑り込ませるのは非常に簡単です」と彼はDecryptに語りました。「npmパッケージやブラウザ拡張など、何でもあり得ます。」
最近の注目すべき例としては、2023年12月のLedger Connect Kitの脆弱性や、昨年12月にSolanaのweb3.jsオープンソースライブラリでマルウェアが発見されたことが挙げられます。
「コードが多すぎて、それに目を向ける人が足りない」とColeは付け加えます。「ほとんどの人は、人気があるから安全だろうと仮定しますが、それは何の意味もありません。」
Coleはまた、奇妙な動作や怪しいメンテナーをスキャンするツールを使用すること、突然手が変わったり予告なしに更新されたりするパッケージに注意を払うことを推奨しました。「また、ビルドに使用するマシンで署名ツールやウォレットを実行しないでください」と彼は結論付けました。「チェックしたりサンドボックス化したりしない限り、何も安全だとは思わないでください。」
