恶意拉取请求插入以太坊代码扩展：研究

根据网络安全公司ReversingLabs的研究人员，一名黑客在为以太坊开发者提供的代码扩展中插入了恶意拉取请求。

恶意代码被插入到ETHcode的更新中，这是一个开源工具套件，供以太坊开发者构建和部署与EVM兼容的智能合约和dapps。

ReversingLabs的一篇博客透露，两个恶意代码行被埋藏在一个包含43个提交和4000行更新的GitHub拉取请求中，该请求主要涉及添加新的测试框架和功能。

该更新于6月17日由一名没有先前历史的用户Airez299添加到GitHub上。

该拉取请求由GitHub的AI审查员和负责创建ETHcode的7finney小组成员进行了分析。

只请求了小的更改，7finney和AI扫描器都没有发现任何可疑之处。

Airez299通过给第一个恶意代码行起一个与现有文件相似的名称来掩盖其性质，同时还对代码本身进行了混淆和打乱，使其更难以阅读。

第二行代码的功能是激活第一行，根据ReversingLabs的说法，最终目的是创建一个自动化功能（一个Powershell），从公共文件托管服务下载并运行一个批处理脚本。

ReversingLabs仍在调查该脚本的具体功能，尽管它在假设该脚本“旨在窃取存储在受害者机器上的加密资产，或者替代性地，妥协使用该扩展的用户正在开发的以太坊合约”。

在接受Decrypt采访时，博客作者Petar Kirhmajer报告称，ReversingLabs没有迹象或证据表明恶意代码实际上被用来窃取代币或数据。

然而，Kirhmajer在博客中写道，ETHcode有6000次安装，而该拉取请求——本应作为自动更新的一部分推出——可能已经传播“到数千个开发者系统”。

这可能令人担忧，一些开发者建议，由于该行业严重依赖开源开发，这种类型的漏洞经常发生。

“代码太多，关注它的眼睛太少。”

根据以太坊开发者和NUMBER GROUP联合创始人Zak Cole的说法，许多开发者在没有适当检查的情况下安装开源包。

“有人轻易地插入恶意代码的可能性太大了，”他告诉Decrypt。“可能是一个npm包，一个浏览器扩展，等等。”

“代码太多，关注它的眼睛太少，”Cole补充道。“大多数人只是因为某些东西流行或存在一段时间就假设它是安全的，但这并不意味着什么。”

Cole确认，虽然这种情况并不特别新，但“可攻击的表面正在扩大”，因为越来越多的开发者在使用开源工具。

“此外，请记住，有整整一仓库的朝鲜民主主义人民共和国特工，他们的全职工作就是执行这些漏洞，”他说。

虽然Cole暗示，可能有比许多开发者意识到的更多恶意代码潜伏，但Kirhmajer告诉Decrypt，依他估计，“成功的尝试非常罕见。”

这引出了一个问题，即开发者可以做些什么来减少使用被破坏代码的机会，ReversingLabs建议他们在下载任何内容之前验证贡献者的身份和历史。

该公司还建议开发者审查如package.json这样的文件，以评估新的依赖项，这也是Zak Cole所倡导的。

“有帮助的是锁定你的依赖项，这样你在构建时就不会每次都引入随机的新东西，”他说。

Cole还建议使用扫描奇怪行为或可疑维护者的工具，同时留意任何可能突然易手或意外更新的包。

“此外，不要在与构建相关的同一台机器上运行签名工具或钱包，”他总结道。“只要假设没有经过检查或沙箱化的东西都是不安全的。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。