交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
安全研究人员发现开源工具ETHCode遭恶意代码植入
ReversingLabs安全团队近日发现,开源以太坊开发工具包ETHCode的更新版本中被植入了两行恶意代码。这款被约6000名开发者使用的工具,其恶意代码通过GitHub的pull request提交,成功绕过了人工智能安全审核和人工审查机制,最终被分发到开发者系统中。
攻击事件关键信息
一名无GitHub贡献记录的黑客通过包含43次提交、4000行代码改动的pull request植入了恶意程序;恶意代码设计用于下载并执行可能窃取加密货币资产或破坏智能合约的脚本;GitHub的AI审核系统和开发团队均未能发现这一精心设计的攻击,引发对开源安全实践的担忧。
攻击细节曝光
6月17日,用户名为Airez299的攻击者提交了恶意pull request。研究人员发现,攻击者通过将恶意文件命名为与现有文件相似名称,并混淆代码结构来隐藏恶意行为。第一行恶意代码巧妙混入合法文件中,第二行作为激活机制,最终创建PowerShell函数来下载并执行公开文件托管服务的批处理脚本。
GitHub的AI审核系统和ETHCode维护团队7finney都审查了这次大规模代码更新,但仅要求进行微小修改,人工审核和自动化系统均未标记出植入的恶意代码。
潜在影响范围广泛
ETHCode是支持以太坊开发者构建兼容EVM智能合约的综合工具套件。被篡改的更新会通过标准更新机制自动分发到用户系统。研究人员表示虽未发现恶意代码实际执行的证据,但考虑到工具的用户基数,潜在攻击范围仍然很大。
研究人员指出:"这次pull request可能已传播至数千个开发者系统。"目前正在调查下载脚本的具体功能,推测其目的可能是窃取受害者机器上的加密资产,或破坏用户正在开发的以太坊合约。
行业专家警示普遍漏洞
以太坊开发专家指出,此类攻击反映了加密货币开发生态系统面临的广泛安全挑战。许多开发者不进行彻底安全审查就直接安装开源软件包。加密货币行业对开源开发的高度依赖为恶意行为者创造了不断扩大的攻击面。
专家强调:"代码量太大而审查者太少。大多数人仅因软件流行或存在时间较长就假定其安全性,但这毫无意义。"随着更多开发者采用开源工具,可攻击面持续扩大,且需警惕国家资助行为者的参与。
开发者安全建议
安全专家建议开发者在下载或实施更新前验证代码贡献者身份和历史记录,审查package.json等依赖声明文件评估新代码关系。推荐采用依赖锁定等额外安全措施,使用能识别可疑行为模式的自动化扫描工具。
开发者还应监控突然变更所有权或发布意外更新的软件包,并为不同开发活动维护隔离环境。专家特别强调:"不要在用于开发的同一台机器上运行签名工具或钱包。"
事件启示
这一事件凸显了开源加密货币开发面临的安全挑战:攻击者可利用信任机制向数千开发者系统分发恶意软件。虽然目前没有证据表明恶意代码被成功执行,但该攻击表明加密货币开发生态系统需要加强安全实践和验证流程。
