-
サイバーセキュリティ研究者は、Ethereum開発者向けの広く使用されているオープンソースツールセットETHcodeの最近のアップデートに悪意のあるコードが埋め込まれていることを発見しました。
-
この隠されたコードはGitHubのプルリクエストを通じて挿入されており、何千行もの正当なアップデートの中に巧妙に隠されており、暗号エコシステムにおけるオープンソースソフトウェアのセキュリティに対する懸念を引き起こしています。
-
ReversingLabsのPetar Kirhmajerによれば、この悪意のあるペイロードは暗号資産を盗む可能性があるか、Ethereumスマートコントラクトを侵害する可能性があるものの、現時点での積極的な悪用の証拠は見つかっていません。
ReversingLabsはETHcodeのアップデートにおける悪意のあるコードを明らかにし、オープンソースのEthereumツールにおけるリスクを強調し、開発者に依存関係の慎重な確認を促しています。
ETHcodeアップデートにおける悪意のあるコードの挿入がセキュリティアラームを引き起こす
6月17日、以前は知られていないユーザーAirez299によって提出されたGitHubのプルリクエストが、Ethereum開発者向けにEVM互換のスマートコントラクトと分散型アプリケーションを構築・展開するためのオープンソーススイートETHcodeに悪意のあるコードの2行を導入しました。このプルリクエストは43のコミットと4,000行を超える更新を含んでおり、主に新しいテストフレームワークを追加することに焦点を当てていたため、悪意のある追加を隠すのに役立っていました。 ReversingLabsの調査によれば、攻撃者は不明瞭化技術を使用して、既存のファイルの名前を模倣し、その内容を混乱させることで、最初のコード行を隠し、人間のレビュアーや自動ツールによる検出を困難にしました。
悪意のあるコードの動作とその潜在的な影響
挿入されたコードの2行目は1行目をアクティブにし、公共のファイルホスティングサービスからバッチスクリプトをダウンロードして実行するために設計された自動PowerShell機能を作成します。ReversingLabsはこのスクリプトの正確な機能を引き続き分析していますが、初期の評価では、被害者のマシンに保存された暗号資産を盗むか、開発中のEthereum契約を侵害する可能性があることが示唆されています。この潜在的な脅威の深刻さにもかかわらず、現時点でこの悪意のあるコードがトークンや機密データを盗むために悪用された証拠はありません。ただし、ETHcodeは約6,000のインストールを誇っており、自動アップデートメカニズムが悪意のあるコードを何千もの開発者システムに広める可能性があり、リスクが増大します。
オープンソースの脆弱性と暗号開発における攻撃面の拡大
この事件は、暗号業界におけるより広範な課題を浮き彫りにしています。オープンソースソフトウェアへの依存は、革新と協力を促進する一方で、重大なセキュリティリスクも導入しています。Ethereum開発者でありNUMBER GROUPの共同創設者ザック・コールは、多くの開発者がオープンソースパッケージを徹底的に検証せずにインストールしていることを強調し、「誰かが悪意のあるものを滑り込ませるのが非常に簡単になってしまっています」と述べました。彼は、Ledger Connect Kitの侵害やSolanaのweb3.jsライブラリで見つかったマルウェアなど、人気のあるオープンソースプロジェクトに対する攻撃者の信頼を利用した最近の著名な悪用の例を挙げました。
悪意のあるコードからリスクを軽減するための開発者向けのベストプラクティス
これらの脅威に対抗するために、ReversingLabsは、開発者が更新を統合する前にコード提出者の身元と貢献履歴を厳密に確認することを推奨しています。package.jsonなどの重要なファイルをレビューして新しい依存関係を評価することも重要です。ザック・コールは、未検証のコードが自動的に取り込まれるのを防ぐために依存関係を固定し、怪しい動作やメンテナンスを検出するツールを使用することを勧めています。さらに、開発者は予期しないパッケージの所有権変更や突然のアップデートを監視する必要があり、これらは潜在的な侵害の兆候となります。コールは、開発に使うマシンで署名ツールやウォレットを実行することを避け、サンドボックス化および厳格な運用セキュリティ対策を推奨しています。
結論
ETHcodeにおける悪意のあるコードの発見は、オープンソース暗号開発に内在する脆弱性を鋭く思い出させます。現在のところ、悪用が確認されていないものの、この事件は開発者間での警戒心の高まりと、堅牢なセキュリティプロトコルの必要性を強調しています。厳格な検証手法を採用し、セキュリティツールを活用することで、Ethereumコミュニティは将来同様の脅威からエコシステムをよりよく守ることができるでしょう。