Компрометация расширения ETHcode: угроза атак на цепочки поставок

Источник: www.reversinglabs.com
Компрометация расширения ETHcode раскрывает новые риски атак на цепочки поставок
Недавний инцидент с расширением ETHcode для разработки смарт-контрактов Ethereum, поддерживаемым организацией 7finney, вновь демонстрирует растущую угрозу атак на цепочки поставок (supply chain attacks) в сфере программного обеспечения. Вредоносный запрос на загрузку на GitHub позволил злоумышленнику внедрить в проект скрытый вредоносный код и поставить под угрозу тысячи пользователей.
Суть атаки: маскировка через обманчивую зависимость
Атакующий использовал учетную запись Airez299 для создания запроса на внесение изменений, в котором была добавлена зависимость под названием «keythereum-utils». Название пакета намеренно очень похоже на оригинальный и широко используемый keythereum-utils, что и позволило обмануть разработчиков и пройти проверку кода.
Метод внедрения вредоносного кода включал две ключевые строки в запросе на удаление, которые на первый взгляд выглядели как обычные обновления и исправления:
- Добавление подозрительной зависимости в проект;
- Вызов данной зависимости с помощью функции
requireиз Node.js, что позволяло запускать скрытые скрипты незаметно для ревьюеров.
Опасная полезная нагрузка и потенциальные последствия
Расшифровка вредоносного кода показала, что скрипты запускали скрытый Powershell, который загружал дополнительные пакетные скрипты. Вероятная цель этого механизма — кража криптовалютных активов или компрометация пользовательских смарт-контрактов.
Этот пример ясно иллюстрирует сложность и изощренность современных атак на цепочки поставок, когда зловреды умело маскируются под безобидные обновления, распространяясь через легитимные каналы.
Риски автоматических обновлений и рекомендации для разработчиков
Автоматическое обновление распространённых расширений, когда изменения практически не выделяются, может привести к непреднамеренному внедрению вредоносного ПО в широкие массы пользователей. В данном случае время отправки запроса и создание одноразовой учетной записи на GitHub свидетельствуют о тщательно спланированной и подготовленной атаке.
Для снижения подобных рисков экспертами рекомендуется:
- Вручную проверять личности и репутации участников внесения изменений;
- Подробно изучать добавляемые зависимости на предмет потенциальных угроз;
- Использовать инструменты анализа и мониторинга, например, Spectra Assure, для отслеживания всех изменений и уязвимостей в проекте;
- Внедрять процессы строгого контроля кода и аудита обновлений в цепочке поставок.
Дальнейший анализ и перспективы
Продолжается исследование второй стадии вредоносного ПО, используемого в данной атаке. Ожидается, что новые данные позволят глубже понять масштабы угрозы и методы защиты от подобных эксплойтов.
_Этот инцидент подчёркивает, насколько важно поддерживать высокие стандарты безопасности в процессе разработки для защиты как разработчиков, так и конечных пользователей._
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



