{"id":1101,"date":"2025-07-09T14:34:32","date_gmt":"2025-07-09T14:34:32","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=1101"},"modified":"2025-07-09T14:35:53","modified_gmt":"2025-07-09T14:35:53","slug":"solicitacao-de-pull-maliciosa-atinge-mais-de-6-000-desenvolvedores-por-meio-da-extensao-vulneravel-ethcode-vs-code","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2025\/07\/09\/solicitacao-de-pull-maliciosa-atinge-mais-de-6-000-desenvolvedores-por-meio-da-extensao-vulneravel-ethcode-vs-code\/","title":{"rendered":"Solicita\u00e7\u00e3o de pull maliciosa atinge mais de 6.000 desenvolvedores por meio da extens\u00e3o vulner\u00e1vel Ethcode VS Code"},"content":{"rendered":"\n

Pesquisadores de seguran\u00e7a cibern\u00e9tica sinalizaram um ataque \u00e0 cadeia de suprimentos direcionado a uma extens\u00e3o do Microsoft Visual Studio Code (VS Code) chamada Ethcode<\/strong> , que foi instalada pouco mais de 6.000 vezes.<\/p>\n\n\n\n

O comprometimento, segundo o ReversingLabs<\/a> , ocorreu por meio de uma solicita\u00e7\u00e3o de pull do GitHub que foi aberta por um usu\u00e1rio chamado Airez299 em 17 de junho de 2025.<\/p>\n\n\n\n

Lan\u00e7ado pela primeira vez pela 7finney em 2022, o Ethcode<\/a> \u00e9 uma extens\u00e3o do VS Code usada para implantar e executar contratos inteligentes Solidity em blockchains baseadas em M\u00e1quinas Virtuais Ethereum ( EVM<\/a> ). Uma EVM \u00e9 um mecanismo de computa\u00e7\u00e3o descentralizado projetado para executar contratos inteligentes na rede Ethereum.<\/p>\n\n\n\n

De acordo com a empresa de seguran\u00e7a da cadeia de suprimentos, o projeto GitHub recebeu sua \u00faltima atualiza\u00e7\u00e3o n\u00e3o maliciosa em 6 de setembro de 2024. Isso mudou no m\u00eas passado, quando Airez299 abriu uma solicita\u00e7\u00e3o de pull<\/a> com a mensagem “Modernize a base de c\u00f3digo com integra\u00e7\u00e3o viem e estrutura de teste”.<\/p>\n\n\n\n

O usu\u00e1rio alegou ter adicionado uma nova estrutura de testes com integra\u00e7\u00e3o com Mocha e recursos de teste de contrato, al\u00e9m de ter feito uma s\u00e9rie de altera\u00e7\u00f5es, incluindo a remo\u00e7\u00e3o de configura\u00e7\u00f5es antigas e a atualiza\u00e7\u00e3o das depend\u00eancias para a vers\u00e3o mais recente.<\/p>\n\n\n\n

Embora isso possa parecer uma atualiza\u00e7\u00e3o \u00fatil para um projeto que ficou inativo por mais de nove meses, a ReversingLabs disse que o agente de amea\u00e7a desconhecido por tr\u00e1s do ataque conseguiu inserir duas linhas de c\u00f3digo como parte de 43 confirma\u00e7\u00f5es e aproximadamente 4.000 linhas de altera\u00e7\u00f5es que comprometeram toda a extens\u00e3o.<\/p>\n\n\n\n

Isso incluiu a adi\u00e7\u00e3o de uma depend\u00eancia npm no formato ” keythereum-utils<\/a> ” no arquivo “package.json” do projeto e a importa\u00e7\u00e3o dela no arquivo TypeScript vinculado \u00e0 extens\u00e3o do VS Code (“src\/extension.ts”).<\/p>\n\n\n\n

A biblioteca JavaScript, agora removida do registro npm, foi considerada altamente ofuscada e cont\u00e9m c\u00f3digo para baixar um payload de segundo est\u00e1gio desconhecido. O pacote foi baixado<\/a> 495 vezes.<\/a><\/p>\n\n\n\n

V\u00e1rias vers\u00f5es do “keythereum-utils” foram carregadas no npm por usu\u00e1rios chamados 0xlab (vers\u00e3o 1.2.1), 0xlabss (vers\u00f5es 1.2.2, 1.2.3, 1.2.4, 1.2.5 e 1.2.6) e 1xlab (vers\u00e3o 1.2.7). As contas do npm n\u00e3o existem mais.<\/p>\n\n\n\n

“Ap\u00f3s desofuscar o c\u00f3digo keythereum-utils, ficou f\u00e1cil ver o que o script faz: gera um PowerShell oculto que baixa e executa um script em lote de um servi\u00e7o p\u00fablico de hospedagem de arquivos”, disse o pesquisador de seguran\u00e7a Petar Kirhmajer.<\/p>\n\n\n\n

Embora a natureza exata da carga \u00fatil n\u00e3o seja conhecida, acredita-se que seja um malware capaz de roubar ativos de criptomoeda ou envenenar os contratos que est\u00e3o sendo desenvolvidos pelos usu\u00e1rios da extens\u00e3o.<\/p>\n\n\n\n

Ap\u00f3s a divulga\u00e7\u00e3o respons\u00e1vel \u00e0 Microsoft, a extens\u00e3o foi removida do Marketplace de Extens\u00f5es do VS Code. Ap\u00f3s a remo\u00e7\u00e3o da depend\u00eancia maliciosa, a extens\u00e3o foi reinstalada.<\/p>\n\n\n\n

“O pacote Ethcode foi despublicado pela Microsoft”, disse<\/a> 0mkara, mantenedor do projeto da ferramenta, em uma solicita\u00e7\u00e3o de pull enviada em 28 de junho. “Eles detectaram uma depend\u00eancia maliciosa no Ethcode. Esta PR remove o reposit\u00f3rio potencialmente malicioso keythereum do pacote.”<\/p>\n\n\n\n

O Ethcode \u00e9 o exemplo mais recente de uma tend\u00eancia mais ampla e crescente de ataques \u00e0 cadeia de suprimentos de software, onde os invasores usam reposit\u00f3rios p\u00fablicos como PyPI e npm como armas para distribuir malware diretamente nos ambientes de desenvolvedores.<\/p>\n\n\n\n

“A conta Airez299 do GitHub que iniciou a solicita\u00e7\u00e3o de pull do Ethcode foi criada no mesmo dia em que a solicita\u00e7\u00e3o de RP foi aberta”, afirmou a ReversingLabs. “Consequentemente, a conta Airez299 n\u00e3o possui nenhum hist\u00f3rico ou atividade anterior associada a ela. Isso indica fortemente que se trata de uma conta descart\u00e1vel, criada exclusivamente com o prop\u00f3sito de infectar este reposit\u00f3rio \u2014 um objetivo que eles alcan\u00e7aram com sucesso.”<\/p>\n\n\n\n

De acordo com dados compilados pela Sonatype, 16.279 malwares de c\u00f3digo aberto foram descobertos no segundo trimestre de 2025, um aumento de 188% em rela\u00e7\u00e3o ao ano anterior. Em compara\u00e7\u00e3o, 17.954 malwares de c\u00f3digo aberto<\/a> foram descobertos no primeiro trimestre de 2025.<\/p>\n\n\n\n

Destes, mais de 4.400 pacotes maliciosos foram projetados para coletar e exfiltrar informa\u00e7\u00f5es confidenciais, como credenciais e tokens de API.<\/p>\n\n\n\n

“Malwares direcionados \u00e0 corrup\u00e7\u00e3o de dados dobraram de frequ\u00eancia, representando 3% do total de pacotes maliciosos \u2014 mais de 400 ocorr\u00eancias \u00fanicas”, afirmou<\/a> a Sonatype . “Esses pacotes visam danificar arquivos, injetar c\u00f3digo malicioso ou sabotar aplicativos e infraestrutura de alguma outra forma.”<\/p>\n\n\n\n

O Lazarus Group, ligado \u00e0 Coreia do Norte, foi atribu\u00eddo a 107 pacotes maliciosos, que foram baixados coletivamente mais de 30.000 vezes. Outro conjunto de mais de 90 pacotes npm foi associado a um cluster de amea\u00e7as chin\u00eas denominado Yeshen-Asia<\/a> , que est\u00e1 ativo desde pelo menos dezembro de 2024 para coletar informa\u00e7\u00f5es do sistema e a lista de processos em execu\u00e7\u00e3o.<\/p>\n\n\n\n

Esses n\u00fameros ressaltam a crescente sofistica\u00e7\u00e3o dos ataques direcionados aos pipelines de desenvolvedores, com os invasores explorando cada vez mais a confian\u00e7a nos ecossistemas de c\u00f3digo aberto para comprometer a cadeia de suprimentos.<\/p>\n\n\n\n

“Cada um foi publicado a partir de uma conta de autor distinta, cada um hospedava apenas um componente malicioso e todos se comunicavam com a infraestrutura por tr\u00e1s dos dom\u00ednios yeshen.asia protegidos pela Cloudflare”, disse a empresa.<\/p>\n\n\n\n

“Embora nenhuma t\u00e9cnica nova tenha sido observada nesta segunda onda, o n\u00edvel de automa\u00e7\u00e3o e reutiliza\u00e7\u00e3o de infraestrutura reflete uma campanha deliberada e persistente focada no roubo de credenciais e na exfiltra\u00e7\u00e3o de segredos.”<\/p>\n\n\n\n

O desenvolvimento ocorre ap\u00f3s a Socket identificar oito extens\u00f5es falsas relacionadas a jogos na loja de complementos do Mozilla Firefox que continham v\u00e1rios n\u00edveis de funcionalidade maliciosa, desde adware at\u00e9 roubo de tokens OAuth do Google.<\/p>\n\n\n\n

Mais especificamente, descobriu-se tamb\u00e9m que algumas dessas extens\u00f5es redirecionam para sites de jogos de azar, fornecem alertas falsos de v\u00edrus da Apple e encaminham furtivamente sess\u00f5es de compras por meio de links de rastreamento de afiliados para ganhar comiss\u00f5es e at\u00e9 mesmo rastrear usu\u00e1rios injetando iframes de rastreamento invis\u00edveis contendo identificadores exclusivos.<\/p>\n\n\n\n

\"\"\/<\/a><\/figure>\n\n\n\n

Os nomes dos complementos, todos publicados por um agente de amea\u00e7as com o nome de usu\u00e1rio “mre1903”, est\u00e3o abaixo:<\/p>\n\n\n\n