Julho 9, 2025
Rico Olivetti Hackers, Tecnologia

Solicitação de pull maliciosa atinge mais de 6.000 desenvolvedores por meio da extensão vulnerável Ethcode VS Code

Pesquisadores de segurança cibernética sinalizaram um ataque à cadeia de suprimentos direcionado a uma extensão do Microsoft Visual Studio Code (VS Code) chamada Ethcode , que foi instalada pouco mais de 6.000 vezes.

O comprometimento, segundo o ReversingLabs , ocorreu por meio de uma solicitação de pull do GitHub que foi aberta por um usuário chamado Airez299 em 17 de junho de 2025.

Lançado pela primeira vez pela 7finney em 2022, o Ethcode é uma extensão do VS Code usada para implantar e executar contratos inteligentes Solidity em blockchains baseadas em Máquinas Virtuais Ethereum ( EVM ). Uma EVM é um mecanismo de computação descentralizado projetado para executar contratos inteligentes na rede Ethereum.

De acordo com a empresa de segurança da cadeia de suprimentos, o projeto GitHub recebeu sua última atualização não maliciosa em 6 de setembro de 2024. Isso mudou no mês passado, quando Airez299 abriu uma solicitação de pull com a mensagem “Modernize a base de código com integração viem e estrutura de teste”.

O usuário alegou ter adicionado uma nova estrutura de testes com integração com Mocha e recursos de teste de contrato, além de ter feito uma série de alterações, incluindo a remoção de configurações antigas e a atualização das dependências para a versão mais recente.

Embora isso possa parecer uma atualização útil para um projeto que ficou inativo por mais de nove meses, a ReversingLabs disse que o agente de ameaça desconhecido por trás do ataque conseguiu inserir duas linhas de código como parte de 43 confirmações e aproximadamente 4.000 linhas de alterações que comprometeram toda a extensão.

Isso incluiu a adição de uma dependência npm no formato ” keythereum-utils ” no arquivo “package.json” do projeto e a importação dela no arquivo TypeScript vinculado à extensão do VS Code (“src/extension.ts”).

A biblioteca JavaScript, agora removida do registro npm, foi considerada altamente ofuscada e contém código para baixar um payload de segundo estágio desconhecido. O pacote foi baixado 495 vezes.

Várias versões do “keythereum-utils” foram carregadas no npm por usuários chamados 0xlab (versão 1.2.1), 0xlabss (versões 1.2.2, 1.2.3, 1.2.4, 1.2.5 e 1.2.6) e 1xlab (versão 1.2.7). As contas do npm não existem mais.

“Após desofuscar o código keythereum-utils, ficou fácil ver o que o script faz: gera um PowerShell oculto que baixa e executa um script em lote de um serviço público de hospedagem de arquivos”, disse o pesquisador de segurança Petar Kirhmajer.

Embora a natureza exata da carga útil não seja conhecida, acredita-se que seja um malware capaz de roubar ativos de criptomoeda ou envenenar os contratos que estão sendo desenvolvidos pelos usuários da extensão.

Após a divulgação responsável à Microsoft, a extensão foi removida do Marketplace de Extensões do VS Code. Após a remoção da dependência maliciosa, a extensão foi reinstalada.

“O pacote Ethcode foi despublicado pela Microsoft”, disse 0mkara, mantenedor do projeto da ferramenta, em uma solicitação de pull enviada em 28 de junho. “Eles detectaram uma dependência maliciosa no Ethcode. Esta PR remove o repositório potencialmente malicioso keythereum do pacote.”

O Ethcode é o exemplo mais recente de uma tendência mais ampla e crescente de ataques à cadeia de suprimentos de software, onde os invasores usam repositórios públicos como PyPI e npm como armas para distribuir malware diretamente nos ambientes de desenvolvedores.

“A conta Airez299 do GitHub que iniciou a solicitação de pull do Ethcode foi criada no mesmo dia em que a solicitação de RP foi aberta”, afirmou a ReversingLabs. “Consequentemente, a conta Airez299 não possui nenhum histórico ou atividade anterior associada a ela. Isso indica fortemente que se trata de uma conta descartável, criada exclusivamente com o propósito de infectar este repositório — um objetivo que eles alcançaram com sucesso.”

De acordo com dados compilados pela Sonatype, 16.279 malwares de código aberto foram descobertos no segundo trimestre de 2025, um aumento de 188% em relação ao ano anterior. Em comparação, 17.954 malwares de código aberto foram descobertos no primeiro trimestre de 2025.

Destes, mais de 4.400 pacotes maliciosos foram projetados para coletar e exfiltrar informações confidenciais, como credenciais e tokens de API.

“Malwares direcionados à corrupção de dados dobraram de frequência, representando 3% do total de pacotes maliciosos — mais de 400 ocorrências únicas”, afirmou a Sonatype . “Esses pacotes visam danificar arquivos, injetar código malicioso ou sabotar aplicativos e infraestrutura de alguma outra forma.”

O Lazarus Group, ligado à Coreia do Norte, foi atribuído a 107 pacotes maliciosos, que foram baixados coletivamente mais de 30.000 vezes. Outro conjunto de mais de 90 pacotes npm foi associado a um cluster de ameaças chinês denominado Yeshen-Asia , que está ativo desde pelo menos dezembro de 2024 para coletar informações do sistema e a lista de processos em execução.

Esses números ressaltam a crescente sofisticação dos ataques direcionados aos pipelines de desenvolvedores, com os invasores explorando cada vez mais a confiança nos ecossistemas de código aberto para comprometer a cadeia de suprimentos.

“Cada um foi publicado a partir de uma conta de autor distinta, cada um hospedava apenas um componente malicioso e todos se comunicavam com a infraestrutura por trás dos domínios yeshen.asia protegidos pela Cloudflare”, disse a empresa.

“Embora nenhuma técnica nova tenha sido observada nesta segunda onda, o nível de automação e reutilização de infraestrutura reflete uma campanha deliberada e persistente focada no roubo de credenciais e na exfiltração de segredos.”

O desenvolvimento ocorre após a Socket identificar oito extensões falsas relacionadas a jogos na loja de complementos do Mozilla Firefox que continham vários níveis de funcionalidade maliciosa, desde adware até roubo de tokens OAuth do Google.

Mais especificamente, descobriu-se também que algumas dessas extensões redirecionam para sites de jogos de azar, fornecem alertas falsos de vírus da Apple e encaminham furtivamente sessões de compras por meio de links de rastreamento de afiliados para ganhar comissões e até mesmo rastrear usuários injetando iframes de rastreamento invisíveis contendo identificadores exclusivos.

Os nomes dos complementos, todos publicados por um agente de ameaças com o nome de usuário “mre1903”, estão abaixo:

  • CalSyncMaster
  • VPN – Obtenha um Proxy – Grátis
  • Me dá, me dá
  • Cinco noites no Freddy’s
  • Pequena Alquimia 2
  • Girador de bolhas
  • 1×1.LOL
  • Jogo Krunker io

“As extensões de navegador continuam sendo um vetor de ataque preferido devido ao seu status confiável, permissões abrangentes e capacidade de execução dentro do contexto de segurança do navegador”, disse o pesquisador da Socket, Kush Pandya . “A progressão de simples golpes de redirecionamento para roubo de credenciais OAuth demonstra a rapidez com que essas ameaças evoluem e escalam.”

“O que é mais preocupante é que a infraestrutura de redirecionamento poderia ser facilmente redirecionada para comportamentos mais intrusivos, como rastreamento abrangente, coleta de credenciais ou distribuição de malware.”

Fonte: The Hacker News