Фахівці з кібербезпеки ReversingLabs виявили шкідливий пул-реквест у репозиторії ETHcode — відкритого набору інструментів для створення та розгортання EVM-сумісних смартконтрактів.
17 червня його додав користувач із нульовою історією під ніком Airez299. Його код пройшов перевірку GitHub AI та рев’ю від авторів ETHcode команди 7finney, не викликавши підозр.
Зловмисний код складався з двох рядків, захованих в оновленні для тестового фреймворку з 43 комітів. Ці інструкції, замасковані під звернення до справжніх бібліотек, мали викликати завантаження і запуск шкідливого скрипта зі стороннього репозиторію.
На думку спеціалістів ReversingLabs, скрипт міг бути призначений для крадіжки криптоактивів або втручання в контракти, які розробляють користувачі ETHcode. Втім поки немає доказів фактичного використання цього коду для зламу.
ETHcode встановлено понад 6000 разів, тож потенційно шкідливе оновлення могло поширитися на тисячі машин.
Ethereum-розробник Зак Коул з NUMBER GROUP в коментарі для Decrypt зауважив, що подібні випадки — не рідкість у криптосередовищі:
«Занадто багато коду і замало очей. Більшість людей просто вважають, що щось безпечне, бо воно популярне або існує вже деякий час, але це нічого не означає».
За його словами, багато хто встановлює open source-пакети без належної перевірки. До прикладів подібних атак він відніс компрометацію Ledger Connect Kit у грудні 2023 року та виявлення шкідливого коду в бібліотеці Solana web3.js.
Коул зазначає, що кількість потенційних цілей для подібної атаки зростає, адже дедалі більше розробників використовують відкриті інструменти.
«Є цілі склади з північнокорейськими хакерами, які цілодобово шукають такі вектори зламу», — додав він.
Нагадаємо, фахівці Venn Network виявили критичну вразливість у «тисячах смартконтрактів» і запобігли крадіжці криптовалют на понад $10 млн.
