Эксперты по кибербезопасности зафиксировали атаку на цепочку поставок: злоумышленники сумели внедрить вредоносный код в расширение Visual Studio Code под названием Ethcode, которое скачали свыше 6 000 раз.
Ethcode
Как сообщает компания ReversingLabs, эта компрометация произошла через pull request, присланный 17 июня 2025 года пользователем с ником Airez299 на GitHub.
Оригинальное расширение Ethcode было создано разработчиком 7finney в 2022 году. Оно помогает работать с Solidity-смарт-контрактами и развертывать их в блокчейнах на базе Ethereum Virtual Machine (EVM). EVM — это распределенная система, которая позволяет запускать смарт-контракты внутри блокчейна Ethereum.
По словам специалистов по анализу цепочек поставок, до сентября 2024 года проект обновлялся исключительно безопасными версиями. Однако спустя девять месяцев пользователь Airez299 отправил pull request с описанием: «Обновление кода с интеграцией viem и тестовой платформы».
Автор заявил, что добавил новый тестовый фреймворк с поддержкой Mocha и функциями для проверки контрактов, а также удалил устаревшие настройки и обновил зависимости до последних версий.
Хотя обновление выглядело полезным для давно не обновлявшегося проекта, злоумышленник, прикрываясь улучшениями, незаметно внедрил две вредоносные строки среди более 4 000 изменений в 43 коммитах — и всё расширение оказалось заражено.
В частности, в package.json добавилась зависимость npm «keythereum-utils», а в TypeScript-файле расширения («src/extension.ts») появился её импорт.
Оказавшаяся вредоносной JavaScript-библиотека была сильно зашифрована и умела загружать второй неизвестный вредоносный компонент. Пакет «keythereum-utils» скачали 495 раз, после чего аналогичную зависимость оперативно удалили из npm.
Эти вредоносные версии «keythereum-utils» размещались под никами 0xlab (версия 1.2.1), 0xlabss (версии 1.2.2–1.2.6), 1xlab (версия 1.2.7), однако все аккаунты уже удалены.
«Когда мы расшифровали код ‘keythereum-utils’, стало ясно: скрипт запускает скрытое окно PowerShell, чтобы незаметно скачать и запустить bat-файл с публичного файлового хостинга», — объяснил исследователь Пeтар Кирхмаер.
Хотя точное предназначение этого загрузчика достоверно не установлено, эксперты полагают, что он может воровать криптовалюту или внедрять вредоносный код в разрабатываемые смарт-контракты.
Сразу после сообщения о происшествии Microsoft оперативно удалила расширение из каталога VS Code. После очистки пакета от вредоносной зависимости расширение вновь появилось в магазине.
«Пакет Ethcode сняли с публикации, потому что в его зависимостях нашли вредоносный пакет keythereum. Теперь опасный репозиторий keythereum полностью исключён из зависимостей», — сообщил 0mkara, один из мэйнтейнеров проекта, 28 июня.
Инцидент с Ethcode наглядно показывает: атаки на цепочки поставок происходят всё чаще — киберпреступники всё активнее заражают публичные репозитории вроде npm и PyPI, чтобы атаковать разработчиков через популярные инструменты.
«GitHub-аккаунт Airez299, разместивший вредоносный pull request, был создан в тот же день, когда отправили сам запрос. В профиле нет никакой другой активности — очевидно, аккаунт завели специально под эту атаку», — добавляют специалисты ReversingLabs.
По данным Sonatype, только за второй квартал 2025 года обнаружили 16 279 вредоносных open-source пакетов — это на 188% больше, чем годом ранее. В первом квартале того года нашли ещё 17 954 новых угроз.
Из этого числа более 4 400 вредоносных пакетов были нацелены на кражу конфиденциальных данных — логинов, API-ключей, паролей.
«Пакеты-уничтожители файлов теперь встречаются почти вдвое чаще и составляют 3% всех вредоносных пакетов — это более 400 уникальных случаев», — отмечают в Sonatype. «Они могут портить файлы, встраивать вредоносный код или нарушать работу приложений и инфраструктуры».
107 вредоносных пакетов связали с прославленной хакерской группой Lazarus из Северной Кореи — в сумме их скачали более 30 тысяч раз. Ещё 90 npm-пакетов, по сведениям экспертов, относятся к китайскому кластеру Yeshen-Asia, который с декабря 2024 года собирает сведения о системах и запущенных процессах.
Все эти данные доказывают: атаки на инструменты для разработки приобретают невиданный масштаб и всё большую изощрённость — злоумышленники всё чаще используют доверие к open-source экосистеме, заражая проекты ещё на этапе поставки.
«Каждый вредоносный пакет публиковался с нового аккаунта, содержал только один вредоносный компонент и связывался с инфраструктурой, спрятанной за доменами yeshen.asia и защищённой через Cloudflare», — подчёркивают аналитики.
«Во второй волне атак новых техник мы не заметили, но массовая автоматизация и повторное использование инфраструктуры подтверждают: за этим стоит хорошо спланированная кампания по краже данных и секретных ключей».
На этом фоне компания Socket обнаружила сразу восемь поддельных расширений, якобы для игр, в официальном магазине Firefox. Все они были заражены: одни просто показывали рекламу, другие уже похищали Google OAuth-токены.
Некоторые из этих расширений перенаправляли пользователей на сайты азартных игр, выводили поддельные предупреждения о вирусах от Apple, незаметно перенаправляли покупки через свои реферальные ссылки ради прибыли или отслеживали пользователей с помощью скрытых фреймов и уникальных идентификаторов.
Список найденных вредоносных расширений, опубликованных под ником "mre1903":
- CalSyncMaster
- VPN - Grab a Proxy - Free
- GimmeGimme
- Five Nights at Freddy's
- Little Alchemy 2
- Bubble Spinner
- 1v1.LOL
- Krunker io Game
- CalSyncMaster
- VPN - Grab a Proxy - Free
- GimmeGimme
- Five Nights at Freddy's
- Little Alchemy 2
- Bubble Spinner
- 1v1.LOL
- Krunker io Game
«Браузерные расширения уже давно привлекают хакеров: им доверяют, они получают широкие права и работают в пределах защищенного браузера», — отмечает эксперт Socket Куш Пандя. — «Мы видим быструю эволюцию: от простого перехвата трафика — к кражам данных через OAuth. Угроза становится всё острее».
«Самое настораживающее — эту инфраструктуру легко можно приспособить для шпионажа, массового сбора паролей или эпидемий нового вредоносного софта».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru