Los investigadores de ciberseguridad han afectado un ataque de cautiverio de suministro dirigido a una extensión de Código de Microsoft Visual Studio (VS Code) llamado Ethcode Eso se ha instalado un poco más de 6,000 veces.
El compromiso, según reversinglabs, ocurrió a través de una solicitud de ascendencia de GitHub que fue destapado por un beneficiario llamado AIREZ299 el 17 de junio de 2025.
Valiente por primera vez por 7Finney en 2022, ETHCODE es una extensión de código VS que se usa para implementar y ejecutar contratos inteligentes de solidez en blockchains basadas en Ethereum Potencial Machine (EVM). Un EVM es un motor de cálculo descentralizado que está diseñado para ejecutar contratos inteligentes en la red Ethereum.
Según la compañía de seguridad de la cautiverio de suministro, el tesina GitHub recibió su última puesta al día no maliciosa el 6 de septiembre de 2024. Eso cambió el mes pasado cuando AIREZ299 abrió una solicitud de ascendencia con el mensaje “Modernizar la colchoneta de código con VIEM Integration and Testing Framework”.
El beneficiario afirmó suceder apéndice un nuevo entorno de prueba con las características de integración de Mocha y pruebas de pacto, así como realizó una serie de cambios, incluida la aniquilación de configuraciones antiguas y la puesta al día de las dependencias a la última interpretación.
Si adecuadamente eso puede parecer una puesta al día útil para un tesina que está inactivo durante más de nueve meses, ReversingLabs dijo que el actor de amenaza desconocido detrás del ataque logró colarse en dos líneas de código como parte de 43 compromisos y aproximadamente 4,000 líneas cambios que comprometieron toda la extensión.
Esto incluyó la aditamento de una dependencia de NPM en forma de “KeyThereum-Utils” en el archivo Packle.json del tesina y la importación en el archivo TypeScript vinculado a la extensión del código VS (“SRC/Extension.ts”).
Se ha antagónico que la Biblioteca JavaScript, ahora retirada del registro NPM, está muy ofuscada y contiene código para descargar una carga útil de la segunda etapa desconocida. El paquete se ha descargado 495 veces.
Los usuarios llamados 0xLab (interpretación 1.2.1), 0xLabss (versiones 1.2.2, 1.2.3, 1.2.4) y 1xLab (interpretación 1.2.7) y 1XLAB (interpretación 1.2.7) cargó a NPM. Las cuentas de NPM ya no existen.
“Luego de desobfuscar el código KeyThereum-Utils, se hizo viable ver lo que hace el sinopsis: difundir un PowerShell oculto que descarga y ejecuta un script por lotes de un servicio sabido de alojamiento de archivos”, dijo el investigador de seguridad Petar Kirhmajer.
Si adecuadamente no se conoce la naturaleza exacta de la carga útil, se cree que es una cuchitril de malware que es capaz de robar activos de criptomonedas o envenenando los contratos que están siendo desarrollados por los usuarios de la extensión.
Luego de la divulgación responsable a Microsoft, la extensión se eliminó del mercado de extensiones de código VS. Luego de la aniquilación de la dependencia maliciosa, la extensión se ha restablecido desde entonces.
“El paquete Ethcode ha sido inédito por Microsoft”, dijo 0Mkara, un mantenedor de proyectos para la utensilio, en una solicitud de ascendencia presentada el 28 de junio “. Detectaron una dependencia maliciosa en Ethcode. Este PR elimina el potencial del repositorio pillo KeyThereum del paquete”.
Ethcode es el posterior ejemplo de una tendencia más amplia y creciente de los ataques de la cautiverio de suministro de software, donde los atacantes arman repositorios públicos como PYPI y NPM para entregar malware directamente a los entornos de desarrolladores.
“La cuenta de GitHub AIREZ299 que inició la solicitud de ascendencia Ethcode se creó el mismo día en que se abrió la solicitud de relaciones públicas”, dijo ReversingLabs. “En consecuencia, la cuenta AIREZ299 no tiene ningún historial o actividad previa asociada. Esto indica fuertemente que esta es una cuenta descartable que se creó exclusivamente con el fin de infectar este repositorio, un objetivo en el que tuvieron éxito”.
Según los datos compilados por Sonatype, se descubrieron 16,279 piezas de malware de código destapado en el segundo trimestre de 2025, un brinco del 188% año tras año. En comparación, 17,954 piezas de malware de código destapado se descubrieron en el primer trimestre de 2025.
De estos, más de 4.400 paquetes maliciosos fueron diseñados para cosechar y exfiltrar información confidencial, como credenciales y tokens API.
“La corrupción de datos de malware se duplicó en frecuencia, lo que representa el 3% del total de paquetes maliciosos, más de 400 instancias únicas”, dijo Sonatype. “Estos paquetes apuntan a dañar archivos, inyectar código pillo o aplicaciones e infraestructura de boicoteo de otra guisa”.
El peña Lázaro vinculado a Corea del Septentrión se ha atribuido a 107 paquetes maliciosos, que se descargaron colectivamente más de 30,000 veces. Otro conjunto de más de 90 paquetes de NPM se ha asociado con un peña de amenazas chino denominado Yeshen-Asia que ha estado activo desde al menos diciembre de 2024 para cosechar información del sistema y la inventario de procesos de ejecución.
Estos números subrayan la creciente sofisticación de los ataques dirigidos a las tuberías de desarrolladores, y los atacantes explotan cada vez más la confianza en los ecosistemas de código destapado para resistir a mango compromisos de la cautiverio de suministro.
“Cada uno fue publicado desde una cuenta de autor distinta, cada uno alojó solo un componente pillo, y todo se comunicó con infraestructura detrás de los dominios de Yeshen.
“Aunque no se observaron técnicas novedosas en esta segunda ola, el nivel de automatización e reutilización de infraestructura refleja una campaña deliberada y persistente centrada en el robo de credenciales y la exfiltración secreta”.
El mejora se produce cuando Socket identificó ocho extensiones falsas relacionadas con el colección en la tienda Mozilla Firefox Add-ons que albergaban niveles variables de funcionalidad maliciosa, que van desde adware hasta robo de token de Google Oauth.
Específicamente, igualmente se ha antagónico que algunas de estas extensiones redirigen a los sitios de colección, sirven alertas falsas de virus de Apple y enronzan sigilosamente las sesiones de compras a través de enlaces de seguimiento de afiliados para obtener comisiones e incluso rastrear a los usuarios inyectando seguimiento invisible de seguimiento de Iframes que contienen identificadores únicos.
Los nombres de los complementos, todos publicados por un actor de amenaza con el nombre de beneficiario “MRE1903”, están a continuación –
- Patrón de calsync
- VPN – Agarra un proxy – infundado
- Dar un tope
- Cinco noches en Freddy’s
- Little Alchemy 2
- Burbuja
- 1V1.lol
- Maniobra de Krunker IO
“Las extensiones del navegador siguen siendo un vector de ataque preferido adecuado a su estado de confianza, permisos extensos y capacidad para ejecutar adentro del contexto de seguridad del navegador”, dijo el investigador de Socket Kush Pandya. “La progresión de las simples estafas de redirección al robo de credenciales OAUTH demuestra cuán rápido evolucionan y escaman estas amenazas”.
“Más preocupante, la infraestructura de redirección podría reutilizarse fácilmente por un comportamiento más intrusivo, como un seguimiento integral, la cosecha de credenciales o la distribución de malware”.
