Pesquisadores de cibersegurança identificaram um ataque na cadeia de suprimentos que teve como alvo uma extensão do Microsoft Visual Studio Code (VS Code) chamada Ethcode, que foi instalada pouco mais de 6.000 vezes.
O comprometimento, segundo a ReversingLabs, ocorreu por meio de um GitHub pull request aberto por um usuário chamado Airez299 em 17 de junho de 2025.
Lançada pela primeira vez por 7finney em 2022, Ethcode é uma extensão do VS Code usada para implantar e executar smart contracts de Solidity em blockchains baseados no Ethereum Virtual Machine (EVM).
Um EVM é um motor de computação descentralizado projetado para executar smart contracts na rede Ethereum.
De acordo com a empresa de segurança de cadeia de suprimentos, o projeto no GitHub recebeu sua última atualização não maliciosa em 6 de setembro de 2024.
Isso mudou no mês passado, quando Airez299 abriu um pull request com a mensagem "Modernize a base de código com integração viem e framework de teste." O usuário alegou ter adicionado um novo framework de teste com integração Mocha e recursos de teste de contrato, bem como realizado várias alterações, incluindo a remoção de configurações antigas e a atualização das dependências para a versão mais recente.
Embora isso possa parecer uma atualização útil para um projeto que ficou inativo por mais de nove meses, a ReversingLabs afirmou que o ator de ameaça desconhecido por trás do ataque conseguiu incluir duas linhas de código como parte de 43 commits e aproximadamente 4.000 linhas de alterações que comprometeram toda a extensão.
Isso incluiu a adição de uma dependência NPM na forma do "keythereum-utils" no arquivo package.json do projeto e sua importação no arquivo TypeScript vinculado à extensão do VS Code ("src/extension.ts").
A biblioteca JavaScript, agora removida do registro do npm, foi encontrada fortemente ofuscada e contém código para baixar um payload secundário desconhecido.
O pacote foi baixado 495 vezes.
Várias versões do "keythereum-utils" foram enviadas ao npm por usuários chamados 0xlab (versão 1.2.1), 0xlabss (versões 1.2.2, 1.2.3, 1.2.4, 1.2.5 e 1.2.6) e 1xlab (versão 1.2.7).
As contas npm não existem mais.
"Após a desofuscação do código keythereum-utils, ficou fácil ver o que o script faz: cria um PowerShell oculto que baixa e executa um script batch de um serviço de hospedagem de arquivos público", disse o pesquisador de segurança Petar Kirhmajer.
Embora a natureza exata do payload não seja conhecida, acredita-se que seja um malware capaz de roubar ativos de criptomoedas ou envenenar os contratos que estão sendo desenvolvidos pelos usuários da extensão.
Após a divulgação responsável para a Microsoft, a extensão foi removida do VS Code Extensions Marketplace.
Após a remoção da dependência maliciosa, a extensão foi posteriormente restabelecida.
"O pacote Ethcode foi despublicado pela Microsoft", disse 0mkara, um dos mantenedores do projeto, em um pull request enviado em 28 de junho.
Eles detectaram uma dependência maliciosa em Ethcode.
Este PR remove a possível chave de repositório maliciosa keythereum do pacote. Ethcode é o exemplo mais recente de uma tendência crescente e escalonada de ataques na cadeia de suprimentos de software, onde atacantes armam repositórios públicos como PyPI e npm para entregar malware diretamente nos ambientes dos desenvolvedores.
"A conta do GitHub Airez299 que iniciou o pull request do Ethcode foi criada no mesmo dia em que o pedido de PR foi aberto", disse a ReversingLabs.
"Consequentemente, a conta Airez299 não tem nenhum histórico anterior ou atividade associada a ela.
Isso indica fortemente que esta é uma conta descartável que foi criada exclusivamente com o propósito de infectar este repositório — um objetivo no qual eles tiveram sucesso." Segundo dados compilados pela Sonatype, 16.279 peças de malware de código aberto foram descobertas no segundo trimestre de 2025, um aumento de 188% ano a ano.
Em comparação, 17.954 peças de malware de código aberto foram descobertas no 1º trimestre de 2025.
Dessas, mais de 4.400 embalagens maliciosas foram projetadas para colher e exfiltrar informações sensíveis, como credenciais e tokens de API.
"Malware visando corrupção de dados dobrou em frequência, representando 3% do total de pacotes maliciosos — mais de 400 instâncias únicas", disse a Sonatype.
Esses pacotes visam danificar arquivos, injetar código malicioso, ou de outra forma sabotar aplicações e infraestrutura. O grupo vinculado à Coreia do Norte, Lazarus Group, foi atribuído a 107 pacotes maliciosos, que foram coletivamente baixados mais de 30.000 vezes.
Outro conjunto de mais de 90 pacotes npm foi associado a um cluster de ameaças chinês apelidado de Yeshen-Asia, ativo desde pelo menos dezembro de 2024 para colher informações do sistema e a lista de processos em execução.
Esses números sublinham a crescente sofisticação dos ataques visando pipelines de desenvolvedores, com os atacantes explorando cada vez mais a confiança nos ecossistemas de código aberto para realizar comprometimentos na cadeia de suprimentos.
"Cada um foi publicado de uma conta de autor distinta, cada um hospedou apenas um componente malicioso, e todos se comunicaram com infraestrutura protegida por Cloudflare atrás dos domínios yeshen.asia", disse a empresa.
"Embora nenhuma técnica nova tenha sido observada nesta segunda onda, o nível de automação e reutilização de infraestrutura reflete uma campanha deliberada e persistente focada no roubo de credenciais e na exfiltração de segredos."
O desenvolvimento ocorre enquanto a Socket identificou oito extensões falsas relacionadas a jogos na loja de complementos do Mozilla Firefox que abrigavam variados níveis de funcionalidade maliciosa, variando de adware a roubo de tokens do Google OAuth.
Especificamente, algumas dessas extensões também foram encontradas redirecionando para sites de jogos de azar, servindo alertas falsos de vírus da Apple e roteando sessões de compras de forma oculta através de links de rastreamento de afiliados para ganhar comissões, e até mesmo rastrear usuários injetando iframes de rastreamento invisíveis contendo identificadores únicos.
Os nomes dos complementos, todos publicados por um ator de ameaça com o nome de usuário "mre1903", estão abaixo - CalSyncMaster VPN - Grab a Proxy - Free GimmeGimme Five Nights at Freddy's Little Alchemy 2 Bubble Spinner 1v1.LOL Krunker io Game "As extensões de navegador permanecem um vetor de ataque favorecido devido ao seu status de confiança, permissões extensas e capacidade de executar dentro do contexto de segurança do navegador", disse o pesquisador da Socket, Kush Pandya.
A progressão de simples golpes de redirecionamento para roubo de credenciais do OAuth demonstra como essas ameaças evoluem e escalam rapidamente.
Mais preocupante, a infraestrutura de redirecionamento pode facilmente ser reaproveitada para comportamentos mais intrusivos, como rastreamento abrangente, colheita de credenciais ou distribuição de malware.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...