Дослідники виявили шкідливий код у застосунку для Ethereum-розробників

Експерти з кібербезпеки ReversingLabs виявили шкідливий пул-реквест в репозиторії ETHcode — відкритому наборі інструментів для створення та розгортання EVM-сумісних смартконтрактів.

17 червня його додав користувач з нульовою історією під ніком Airez299. Його код успішно пройшов перевірку GitHub AI та рецензію від команди авторів ETHcode 7finney, що не викликало підозр.

Шкідливий код складався з двох рядків, прихованих в оновленні для тестового фреймворку, що містив 43 коміти. Ці інструкції, замасковані під звернення до справжніх бібліотек, мали на меті завантаження та виконання шкідливого скрипта з стороннього репозиторію.

На думку фахівців ReversingLabs, скрипт міг бути використаний для крадіжки криптоактивів або втручання в контракти, які розробляють користувачі ETHcode. Проте наразі немає доказів фактичного використання цього коду для атаки.

ETHcode було встановлено більше 6000 разів, тому потенційно шкідливе оновлення могло охопити тисячі машин.

Розробник Ethereum Зак Коул з NUMBER GROUP у коментарі для Decrypt зазначив, що подібні випадки — не рідкість у криптосередовищі:

«Занадто багато коду і замало очей. Багато хто вважає, що щось безпечне, просто тому що воно популярне або існує вже певний час, але це зовсім не означає, що це безпечно».

За його словами, багато користувачів встановлюють пакети з відкритим кодом без достатньої перевірки. Серед прикладів подібних атак він навів компрометацію Ledger Connect Kit у грудні 2023 року та виявлення шкідливого коду в бібліотеці Solana web3.js.

Коул підкреслив, що кількість потенційних об’єктів для подібних атак зростає, оскільки все більше розробників використовують відкриті інструменти.