ReversingLabs的資安研究人員發現,在大約6,000位開發者使用的開源以太坊開發套件ETHCode更新檔中,嵌入了兩行惡意程式碼。這段惡意程式碼是透過GitHub拉取請求植入,成功繞過了AI安全審查和人工審核,最後被分發至開發者系統。
你需要知道的重點:
- 一位在GitHub毫無貢獻紀錄的駭客,透過43次提交、共4,000行程式碼的請求,將惡意軟體植入ETHCode
- 惡意程式碼設計用於下載並執行批次腳本,可能竊取加密資產或危害智能合約
- 無論是GitHub的AI審查或開發團隊,皆未察覺此複雜攻擊,突顯開源安全疏漏
調查揭露攻擊細節
這個惡意拉取請求於6月17日由Airez299這名在平台上無貢獻記錄的用戶發出。ReversingLabs研究人員發現,攻擊者巧妙地用與既有檔案近似的名稱,混淆了惡意程式碼的實際結構。
第一行惡意程式碼旨在與合法檔案無縫整合。第二行則作為啟動機制,最終產生一個PowerShell函數,可從公開檔案分享服務下載並執行批次腳本。
無論是GitHub的自動AI審查,還是維護ETHCode的7finney成員,都有審查這批大量程式碼更新,僅對少數細節提出修改意見,無人察覺其中的惡意程式碼。
潛在影響波及上千系統
ETHCode是一套讓以太坊開發者能建置並部署與Ethereum虛擬機相容智能合約的工具。這次遭入侵的更新,會經由標準更新機制自動分發到用戶系統。
ReversingLabs研究員Petar Kirhmajer告訴Decrypt,目前尚無證據顯示這段惡意程式碼實際執行過、造成資產或數據遭竊。但由於該工具用戶眾多,潛在影響依然龐大。
Kirhmajer在研究博客中指出:「這個拉取請求可能已擴散至數千位開發者的系統。」ReversingLabs仍在調查下載腳本的具體功能,並假設這些腳本設定於竊取受害者機器內的加密資產,或危害用戶開發中的以太坊合約。
這次攻擊是一場利用開源信任機制的高度供應鏈滲透案例。
專家警告加密開發普遍漏洞
以太坊開發者及NUMBER GROUP聯合創辦人Zak Cole強調,這類攻擊反映當前加密貨幣開發生態常見安全挑戰。許多開發者安裝開源套件時,未經嚴格安全審核。
Cole向Decrypt表示:「要混入惡意內容實在太容易了。可能是一個npm套件、瀏覽器擴充元件,各種形式都有。」
加密產業對開源開發的高度依賴,使惡意行為者有越來越多攻擊機會。Cole也舉出2023年12月Ledger Connect Kit事件、Solana的web3.js函式庫中發現惡意軟體等案例。
Cole補充:「程式碼太多,看的人卻太少。大家單純認為流行、老牌的專案就是安全,但這其實沒有保障。」
Cole指出,隨著愈來愈多開發者採用開源工具,潛在攻擊表面也不斷擴大。他並提醒有國家支持的攻擊者已積極參與。
Cole表示:「你還得意識到,有完整倉庫的北韓人員,專職執行這類滲透。」
給開發者的安全建議
儘管這次攻擊手法高明,安全專家仍認為成功滲透的實例相對少見。Kirkhmajer依其研究經驗推估「實際成功的案例非常罕見」。
ReversingLabs建議開發者在下載及採納更新程式碼前,應核實貢獻者身份與歷史。同時建議檢查package.json等依賴聲明文件,以便審查新代碼關聯性。
Cole主張應採用如依賴鎖定等進階安全措施,避免自動納入未驗證的新程式碼更新。他建議運用自動化掃描工具偵測可疑行為模式或存疑維護者。
開發者還應監控有突然變更所有權或不尋常更新紀錄的套件。Cole強調,不同開發作業應分開在不同環境執行。
Cole最後表示:「簽章工具或錢包不要和工作環境放在同一台機器,除非驗證或沙盒處理,否則都假設不安全。」
結語
本事件凸顯加密貨幣開源開發的資安困境,高度複雜攻擊者可藉社群信任機制將惡意程式碼傳播至數千台開發系統。雖然目前未見惡意代碼實際執行跡象,但此案已證明整個加密開發生態需強化安全流程與驗證機制。