恶意拉取请求植入以太坊代码扩展：研究分析_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

恶意拉取请求植入以太坊代码扩展：研究分析

2025-07-11 19:01:14

黑客向以太坊开发者工具植入恶意代码

网络安全公司ReversingLabs研究人员发现，有黑客向以太坊开发者使用的代码扩展工具提交了恶意拉取请求。该恶意代码被植入ETHcode的更新中——ETHcode是一个开源工具套件，开发者常用它来构建和部署兼容EVM的智能合约及去中心化应用。

精心伪装的恶意代码

据ReversingLabs博客披露，攻击者在包含43次提交和4000行更新代码的GitHub拉取请求中，隐藏了两行恶意代码。这些更新主要涉及新增测试框架和功能。6月17日，用户名为Airez299的账号提交了该更新，该账号此前并无任何活动记录。

GitHub的AI审核机制以及ETHcode开发团队7finney的成员都审查了该请求，仅要求进行少量修改，均未发现异常。攻击者通过将恶意代码命名为与现有文件相似的名称，同时混淆代码结构，成功掩盖了第一行恶意代码的真实意图。

潜在危害与行业现状

第二行代码用于激活第一行代码。ReversingLabs分析认为，其最终目的是创建一个自动化功能（PowerShell脚本），从公共文件托管服务下载并运行批处理脚本。虽然具体功能仍在调查中，但研究人员推测可能用于窃取受害者机器上的加密资产，或破坏用户正在开发的以太坊合约。

博客作者Petar Kirhmajer表示，目前尚无证据表明该恶意代码已被用于实际攻击。但值得注意的是，ETHcode拥有6000次安装量，若该更新通过自动更新机制推送，可能已影响"数千个开发系统"。

以太坊开发者、NUMBER GROUP联合创始人Zak Cole指出，加密行业严重依赖开源开发，许多开发者会未经充分检查就安装开源包。"有人植入恶意内容实在太容易了，可能是npm包、浏览器扩展，任何形式。"他提到2023年12月的Ledger Connect Kit漏洞和Solana的web3.js开源库恶意软件事件作为典型案例。

安全防护建议

针对如何降低使用受污染代码的风险，ReversingLabs建议开发者在下载前核实贡献者身份和历史记录。Cole补充说："有效的方法是锁定依赖项，避免每次构建时引入随机新内容。"他还推荐使用能扫描异常行为或可疑维护者的工具，并警惕突然变更维护者或无故更新的软件包。

Cole最后强调："不要在用开发的同一台机器上运行签名工具或钱包。除非经过检查或沙盒测试，否则不要默认任何内容是安全的。"

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文