قام المتسلل بإدخال طلب سحب ضار في امتداد رمز ل ethereum المطورين ، وفقا للباحثين في شركة الأمن السيبراني ResperingLabs.
تم إدراج الرمز الضار في تحديث لـ EthCode ، وهو مجموعة مفتوحة المصدر من الأدوات التي تستخدمها Ethereum Devs لبناء ونشر EVM متوافق العقود الذكية و dapps.
تكشف مدونة ResversingLabs أن خطين من الكود ضار تم دفنه في طلب سحب Github الذي يتكون من 43 من الالتزام و 4000 خط محدث ، ويتعلقون في المقام الأول بإضافة إطار عمل وقدرات اختبار جديدة.
تمت إضافة التحديث إلى Github في 17 يونيو من قِبل Airez299 ، وهو مستخدم ليس لديه تاريخ سابق.
تم تحليل طلب السحب من قبل مراجع AI Github وأعضاء من 7Finney ، المجموعة المسؤولة عن إنشاء Ethcode.
تم طلب التغييرات الطفيفة فقط ، مع عدم وجود 7finney ولا ماسح الذكاء الاصطناعي يجد أي شيء مشبوه.
تمكن Airez299 من حجب طبيعة الخط الأول من الكود من خلال إعطائها اسمًا مشابهًا لملف ملف مسبقًا ، مع التغلب على الكود وتخليصه ، مما يجعل القراءة أكثر صعوبة.
يعمل السطر الثاني من التعليمات البرمجية لتنشيط الأول ، والذي وفقًا لـ ResversingLabs في النهاية ، غرض إنشاء وظيفة آلية (A PowerShell) تقوم بتنزيل وتشغيل برنامج نصي دفع من خدمة استضافة الملفات العامة.
لا يزال ResversingLabs يحقق في ما يفعله هذا البرنامج النصي بالضبط ، على الرغم من أنه يعمل على افتراض أنه “يهدف إلى سرقة أصول التشفير المخزنة على آلة الضحية ، أو بدلاً من ذلك ، تعرض عقود Ethereum قيد التطوير من قبل مستخدمي التمديد”.
التحدث إلى فك تشفير، أبلغ مؤلف المدونة Petar Kirhmajer أن ResversingLabs ليس له أي إشارة أو دليل على أن الكود الضار قد استخدم بالفعل لسرقة الرموز أو البيانات.
ومع ذلك ، يكتب Kirhmajer في المدونة أن Ethcode لديها 6000 تثبيت ، وأن طلب السحب – الذي كان من الممكن طرحه كجزء من التحديث التلقائي – قد انتشر “إلى آلاف أنظمة المطورين”.
من المحتمل أن يكون هذا الأمر يتعلق ، ويشير بعض المطورين إلى أن هذا النوع من الاستغلال يحدث كثيرًا في التشفير ، بالنظر إلى أن الصناعة تعتمد بشكل كبير على تطوير المصادر المفتوحة.
“الكثير من الكود وليس عيونًا كافية”.
وفقًا لـ Ethereum Developer and Number Group ، المؤسس المشارك لـ Zak Cole ، يقوم العديد من المطورين بتثبيت حزم المصدر المفتوح دون التحقق منها بشكل صحيح.
وقال لـ فك تشفير. “يمكن أن تكون حزمة NPM ، امتداد المتصفح ، أيا كان.”
تشمل الأمثلة الأخيرة البارزة على ذلك استغلال مجموعة Ledger Connect Kit من ديسمبر 2023 ، بالإضافة إلى اكتشاف البرامج الضارة في مكتبة Solana Open Source Open.
ويضيف كول: “هناك الكثير من التعليمات البرمجية وليس هناك ما يكفي من العيون”. “معظم الناس يفترضون أن الأشياء آمنة لأنها تحظى بشعبية أو كانت موجودة لفترة من الوقت ، لكن هذا لا يعني أي شيء.”
يؤكد كول أنه على الرغم من أن هذا النوع من الأشياء ليس جديدًا بشكل خاص ، فإن “سطح الهجوم القابل للعنونة ينتشر” لأن المزيد والمزيد من المطورين يستخدمون أدوات مفتوحة المصدر.
يقول: “أيضًا ، ضع في اعتبارك أن هناك مستودعات كاملة مليئة بعمليات DPRK التي تتمثل وظيفتهم بدوام كامل في تنفيذ هذه المآثر”.
بينما يقترح كول أن هناك رمزًا ضار فك تشفير هذا ، في تقديره ، “المحاولات الناجحة نادرة جدًا”.
هذا يؤدي إلى مسألة ما يمكن للمطورين القيام به لتقليل فرصهم في استخدام التعليمات البرمجية المخترقة ، مع توصية ResversingLabs بالتحقق من هوية وتاريخ المساهمين قبل تنزيل أي شيء.
اقترحت الشركة أيضًا أن تقوم Devs بمراجعة ملفات مثل package.json من أجل تقييم التبعيات الجديدة ، وهو أمر يدعو Zak Cole أيضًا.
وقال: “ما يساعده هو حبس تبعياتك حتى لا تتجول في أشياء جديدة عشوائية في كل مرة تقوم فيها ببناء”.
أوصت Cole أيضًا باستخدام الأدوات التي تفحص للسلوك الغريب أو المشرفين ، مع البحث أيضًا عن أي حزم قد تغير الأيدي أو التحديث فجأة من اللون الأزرق.
وخلص إلى القول: “لا تقم أيضًا بتشغيل أدوات توقيع أو محافظ على نفس الجهاز الذي تستخدمه لبناء الأشياء”. “فقط افترض أنه لا يوجد شيء آمن إلا إذا قمت بفحصه أو رمله.”