Malicious Pull Request Do doelstellingen van 6000+ ontwikkelaars via kwetsbare Ethcode versus Code Extension

Cyberbeveiliging
Vulnerable Ethcode VS Code Extension

Cybersecurity -onderzoekers hebben een supply chain -aanval gemarkeerd die gericht is op een Microsoft Visual Studio Code (VS -code) -verlenging met de naam Ethcode Dat is iets meer dan 6000 keer geïnstalleerd.

Het compromis, volgens Reversinglabs, vond plaats via een GitHub -pull -verzoek dat werd geopend door een gebruiker genaamd Airez299 op 17 juni 2025.

Ethcode is voor het eerst uitgebracht door 7finney in 2022 en is een VS-code-extensie die wordt gebruikt om SMART-contracten te implementeren en uit te voeren in Ethereum Virtual Machine (EVM) gebaseerde blockchains. Een EVM is een gedecentraliseerde berekeningsmotor die is ontworpen om slimme contracten op het Ethereum -netwerk uit te voeren.

Volgens het Supply Chain Security Company ontving het GitHub-project zijn laatste niet-kwaadaardige update op 6 september 2024. Dat veranderde vorige maand toen Airez299 een pull-aanvraag opende met het bericht “Codebase moderniseren met VIEM-integratie en testframework.”

De gebruiker beweerde een nieuw testraamwerk te hebben toegevoegd met MOCHA -integratie- en contracttestfuncties, en een aantal wijzigingen aangebracht, waaronder het verwijderen van oude configuraties en het bijwerken van de afhankelijkheden naar de nieuwste versie.

Hoewel dat misschien een nuttige update lijkt voor een project dat meer dan negen maanden sluimerend lag, zei ReversingLabs dat de onbekende dreigingsacteur achter de aanval erin slaagde om twee codeslijnen te sluipen als onderdeel van 43 commits en ongeveer 4.000 regels veranderingen die de hele uitbreiding in gevaar brachten.

Dit omvatte de toevoeging van een NPM-afhankelijkheid in de vorm van de “KeyThereum-Utils” in het pakket.json-bestand van het project en het importeren in het TypeScript-bestand gekoppeld aan de VS-code-extensie (“SRC/Extension.ts”).

De JavaScript-bibliotheek, nu afgehaald uit het NPM-register, is zwaarder gebleken en bevat code om een ​​onbekende payload in de tweede fase te downloaden. Het pakket is 495 keer gedownload.

Meerdere versies van “Keythereum-Utils” zijn geüpload naar NPM door gebruikers met de naam 0XLAB (versie 1.2.1), 0XLABSS (versies 1.2.2, 1.2.3, 1.2.4, 1.2.5 en 1.2.6) en 1XLAB (versie 1.2.7). De NPM -accounts bestaan ​​niet meer.

“Nadat het de Keythereum-Utils-code deobfusceerde, werd het gemakkelijk om te zien wat het script doet: een verborgen PowerShell spawnen die een batchscript downloadt en uitvoert van een openbare service voor het hosten van bestand,” zei beveiligingsonderzoeker Petar Kirhmajer.

Hoewel de exacte aard van de lading niet bekend is, wordt aangenomen dat het een stuk malware is dat in staat is om cryptocurrency -activa te stelen of de contracten te vergiftigen die worden ontwikkeld door gebruikers van de extensie.

Na verantwoorde openbaarmaking aan Microsoft werd de extensie verwijderd uit de VS -code -extensiesmarkt. Na het verwijderen van de kwaadaardige afhankelijkheid is de extensie sindsdien hersteld.

“Ethcode -pakket is niet gepubliceerd door Microsoft,” zei 0mkara, een projectbeheerder voor de tool, in een pull -verzoek ingediend op 28 juni. “Ze hebben een kwaadaardige afhankelijkheid in Ethcode gedetecteerd. Deze PR verwijdert de potentiële kwaadaardige repository keythereum uit het pakket.”

Ethcode is het nieuwste voorbeeld van een bredere en escalerende trend van aanvallen van software supply chain, waarbij aanvallers openbare repositories zoals PYPI en NPM bewapenen om malware rechtstreeks in ontwikkelaaromgevingen te leveren.

“Het GitHub -account Airez299 dat het Ethcode -pull -verzoek heeft geïnitieerd, werd op dezelfde dag gemaakt als het PR -verzoek werd geopend,” zei Reversinglabs. “Dienovereenkomstig heeft het AireZ299 -account geen eerdere geschiedenis of activiteit die ermee verbonden is. Dit geeft sterk aan dat dit een wegwerpaccount is dat uitsluitend is gemaakt om deze repo te infecteren – een doel waarin ze succesvol waren.”

Volgens gegevens verzameld door Sonatype zijn 16.279 stukken open-source malware ontdekt in het tweede kwartaal van 2025, een sprong van 188% op jaarbasis. Ter vergelijking: 17.954 stukken open-source malware werden ontdekt in Q1 2025.

Hiervan werden meer dan 4.400 kwaadaardige pakketten ontworpen om gevoelige informatie te oogsten en te exfiltreren, zoals referenties en API -tokens.

“Malware richt op gegevenscorruptie verdubbeld in frequentie, waardoor 3% van de totale kwaadaardige pakketten uitmaken – meer dan 400 unieke instanties,” zei Sonatype. “Deze pakketten zijn bedoeld om bestanden te beschadigen, kwaadaardige code te injecteren of anderszins sabotage -applicaties en infrastructuur te saboteren.”

De Noord-Korea-gekoppelde Lazarus-groep is toegeschreven aan 107 kwaadaardige pakketten, die meer dan 30.000 keer werden gedownload. Een andere set van meer dan 90 npm-pakketten is geassocieerd met een Chinese dreigingscluster genaamd Yeshen-Azië die sinds minstens december 2024 actief is om systeeminformatie en de lijst met lopende processen te oogsten.

Deze cijfers onderstrepen de groeiende verfijning van aanvallen op ontwikkelaarspijpleidingen, waarbij aanvallers steeds meer het vertrouwen in open-source ecosystemen exploiteren om compromissen van de supply chain uit te voeren.

“Elk werd gepubliceerd van een afzonderlijke auteursaccount, elk organiseerde slechts één kwaadwillende component en communiceerden allemaal met infrastructuur achter cloudflare-beschermde yeshen.asia-domeinen,” zei het bedrijf.

“Hoewel er geen nieuwe technieken werden waargenomen in deze tweede golf, weerspiegelen het niveau van automatisering en hergebruik van infrastructuur een opzettelijke, aanhoudende campagne gericht op diefstal van referenties en geheime exfiltratie.”

De ontwikkeling wordt geleverd als socket identificeerde acht nep-gaming-gerelateerde extensies in de Mozilla Firefox Add-ons-winkel die verschillende niveaus van kwaadaardige functionaliteit koesterde, variërend van adware tot diefstal van Google OAuth-token.

Specifiek is ook gevonden dat sommige van deze extensies worden aangetroffen naar goksites, nep -Apple -viruswaarschuwingen serveren en winkelende winkelsessies door aangesloten links naar affiliate tracking om commissies te verdienen, en zelfs gebruikers volgen door onzichtbare tracking IFRAMES te injecteren met unieke identificaties.

De namen van de add -ons, allemaal gepubliceerd door een dreigingsacteur met de gebruikersnaam “MRE1903”, zijn hieronder –

  • Calsyncmaster
  • VPN – Grijp een proxy – gratis
  • Gimmegimme
  • Vijf nachten bij Freddy’s
  • Kleine alchemie 2
  • Bubbelspinner
  • 1v1.lol
  • Krunker IO -spel

“Browserverlengingen blijven een favoriete aanvalsvector vanwege hun vertrouwde status, uitgebreide machtigingen en het vermogen om uit te voeren in de beveiligingscontext van de browser,” zei socketonderzoeker Kush Pandya. “De progressie van eenvoudige omleidingszwendel naar diefstal van de oAuth -referentie toont aan hoe snel deze bedreigingen evolueren en schalen.”

“Meer zorgen, de omleidingsinfrastructuur kan gemakkelijk worden hergebruikt voor meer opdringerig gedrag, zoals uitgebreide tracking, inloggegevens of malwareverdeling.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel 10 Pro Prototype verschijnt op de Chinese veilingsite

Trump assistent schiet Apple over de afhankelijkheid van de supply chain van China

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]