Introduzione
Un hacker ha inserito una richiesta di pull malevola in un’estensione di codice per sviluppatori Ethereum, secondo i ricercatori della società di cybersecurity ReversingLabs. Il codice malevolo è stato integrato in un aggiornamento per ETHcode, una suite di strumenti open source utilizzata dagli sviluppatori Ethereum per costruire e distribuire contratti intelligenti e dApp compatibili con EVM.
Dettagli dell’Attacco
Un blog di ReversingLabs rivela che due righe di codice malevolo erano nascoste in una richiesta di pull su GitHub, che comprendeva 43 commit e 4.000 righe aggiornate, e che si occupava principalmente di aggiungere un nuovo framework di test e nuove funzionalità. L’aggiornamento è stato caricato su GitHub il 17 giugno da Airez299, un utente senza precedenti.
“La richiesta di pull è stata analizzata dal revisore AI di GitHub e dai membri di 7finney, il gruppo responsabile della creazione di ETHcode.”
Sono state richieste solo modifiche minori, senza che né 7finney né lo scanner AI trovassero qualcosa di sospetto. Airez299 è riuscito a mascherare la natura della prima riga di codice malevolo dandole un nome simile a quello di un file preesistente, mentre ha anche offuscato e mescolato il codice stesso, rendendolo più difficile da leggere.
La seconda riga di codice serve ad attivare la prima, che secondo ReversingLabs ha come scopo finale quello di creare una funzione automatizzata (un PowerShell) che scarica e esegue uno script batch da un servizio di hosting file pubblico.
Implicazioni e Rischi
ReversingLabs sta ancora indagando su cosa faccia esattamente questo script, anche se sta lavorando con l’assunzione che sia “destinato a rubare asset crittografici memorizzati sul computer della vittima o, in alternativa, compromettere i contratti Ethereum in fase di sviluppo dagli utenti dell’estensione.”
“ETHcode ha 6.000 installazioni e la richiesta di pull potrebbe essersi diffusa a migliaia di sistemi di sviluppatori.”
Questo è potenzialmente preoccupante, e alcuni sviluppatori suggeriscono che questo tipo di exploit accade spesso nel settore crypto, dato che l’industria si basa fortemente sullo sviluppo open source.
Raccomandazioni per gli Sviluppatori
Secondo lo sviluppatore Ethereum e co-fondatore di NUMBER GROUP Zak Cole, molti sviluppatori installano pacchetti open source senza controllarli adeguatamente. “È troppo facile per qualcuno inserire qualcosa di malevolo,” ha detto a Decrypt. “Potrebbe essere un pacchetto npm, un’estensione del browser, qualsiasi cosa.”
Recenti esempi di alto profilo includono l’exploit del Ledger Connect Kit di dicembre 2023, così come la scoperta lo scorso dicembre di malware nella libreria open source web3.js di Solana.
“C’è troppo codice e non abbastanza occhi su di esso.”
In risposta a queste preoccupazioni, ReversingLabs raccomanda di verificare l’identità e la storia dei contributori prima di scaricare qualsiasi cosa. La società ha anche suggerito che gli sviluppatori rivedano file come package.json per valutare nuove dipendenze, cosa che Zak Cole sostiene anch’esso.
“Ciò che aiuta è bloccare le tue dipendenze in modo da non importare cose nuove a caso ogni volta che costruisci,” ha detto. Cole ha anche raccomandato di utilizzare strumenti che scansionano comportamenti strani o manutentori sospetti, mentre si deve anche prestare attenzione a eventuali pacchetti che potrebbero improvvisamente cambiare proprietario o aggiornarsi all’improvviso.
“Assumi semplicemente che nulla sia sicuro a meno che tu non l’abbia controllato o sandboxato.”
