Um hacker inseriu um pull request malicioso em uma extensão de código para desenvolvedores do Ethereum. De acordo com pesquisadores da empresa de segurança cibernética ReversingLabs, o código afeta aplicativos construídos com a máquina virtual do Ethereum (ETH). No entanto, ainda não se sabe exatamente o que eles podem fazer.
A empresa descobriu o código malicioso em uma atualização do ETHcode, onde os hackers inseriram as linhas. Eles fizeram isso usando um conjunto de ferramentas de código aberto usado por desenvolvedores do Ethereum.
Uma publicação da ReversingLabs revela que duas linhas de código malicioso foram inseridas em um pull request do GitHub que continha 43 comentários e 4.000 linhas atualizadas. A imagem abaixo mostra que o principal objetivo do código era a adição de uma nova estrutura de teste e recursos.
O usuário que instalou essas linhas, que usa o pseudônimo de Airez299, não tinha nenhum histórico de contribuição no GitHub. Mesmo assim ele conseguiu adicionar as linhas em 17 de julho. Em seguida, o pull request foi analisado pelo revisor de IA do GitHub e por membros do 7finney, o grupo responsável pela criação do ETHcode.
Nenhum deles, contudo, foi capaz de encontrar as linhas maliciosas. Até mesmo o revisor de IA foi enganado pelo hacker, visto que ele sugeriu apenas pequenas mudanças. Isso significa que o hacker era profissional e conseguiu ocultar com precisão a origem maliciosa do código.
Confira nossas sugestões de Pre-Sales para investir agora
Códigos maliciosos em extensão do Ethereum
Airez299 conseguiu ocultar a natureza da primeira linha de código malicioso, dando-lhe um nome semelhante ao de um arquivo preexistente. Com isso ele conseguiu de ofuscar e embaralhar o próprio código, dificultando sua leitura.
Já a segunda linha de código serve para ativar a primeira linha. Segundo a ReversingLabs, esta tem como objetivo, em última análise, criar uma função automatizada (um PowerShell) que baixa e opera um script em lote.
A ReversingLabs ainda está investigando o que exatamente esse script faz. Mas uma das hipóteses apuradas pela empresa é que ele sirva para roubar criptomoedas armazenadas no computador dos usuários. Uma segunda hipótese, mais séria, é que o código sirva para comprometer os contratos de Ethereum em desenvolvimento pelos usuários da extensão.
Petar Kirhmajer, autor da publicação da ReversingLabs, afirmou que a empresa não tem indícios ou evidências de que o código malicioso tenha sido realmente usado para roubar tokens ou dados. No entanto, Kirhmajer afirma que o ETHcode tem 6.000 instalações e que a solicitação de pull pode ter se espalhado “para milhares de sistemas de desenvolvedores”.
Isso é potencialmente preocupante, e alguns desenvolvedores sugerem que esse tipo de exploração acontece com frequência em criptomoedas. O código pode se ativar em qualquer uma dessas máquinas e trazer consequências que ainda são imprevisíveis.
Muito código, poucos olhos
De acordo com o desenvolvedor do Ethereum e cofundador do NUMBER GROUP, Zak Cole, muitos desenvolvedores instalam pacotes de código aberto sem verificá-los adequadamente. Cole afirmou que o Ethereum possui “muitos códigos, mas tem poucos olhos para vigiá-los“.
“É muito fácil para alguém inserir algo malicioso. Pode ser um pacote npm, uma extensão de navegador, seja lá o que for”, afirmou.
Exemplos recentes de destaque disso incluem a exploração do Ledger Connect Kit de dezembro de 2023, que causou mais de US$ 2 milhões em roubos. A falha não ocorreu nas carteiras, mas sim no código de um serviço voltado para aplicativos descentralizados (dApps).
“Há muito código e poucos olhos nele. A maioria das pessoas simplesmente presume que algo é seguro porque é popular ou já existe há algum tempo, mas isso não significa nada”, afirmou Cole. O Desenvolvedor também alertou que essa instalação pode ter partido de um ataque deliberado contra o Ethereum
“Além disso, lembre-se de que existem armazéns inteiros cheios de agentes da Coreia do Norte cujo trabalho em tempo integral é executar essas explorações”, diz ele.
