Los investigadores de ciberseguridad han marcado un ataque de cadena de suministro dirigido a una extensión de Código de Microsoft Visual Studio (VS Code) llamado Ethcode Eso se ha instalado un poco más de 6,000 veces.
El compromiso, según reversinglabs, ocurrió a través de una solicitud de extracción de GitHub que fue abierto por un usuario llamado AIREZ299 el 17 de junio de 2025.
Lanzado por primera vez por 7Finney en 2022, ETHCODE es una extensión de código VS que se usa para implementar y ejecutar contratos inteligentes de solidez en blockchains basadas en Ethereum Virtual Machine (EVM). Un EVM es un motor de cálculo descentralizado que está diseñado para ejecutar contratos inteligentes en la red Ethereum.
Según la compañía de seguridad de la cadena de suministro, el proyecto GitHub recibió su última actualización no maliciosa el 6 de septiembre de 2024. Eso cambió el mes pasado cuando AIREZ299 abrió una solicitud de extracción con el mensaje «Modernizar la base de código con VIEM Integration and Testing Framework».
El usuario afirmó haber agregado un nuevo marco de prueba con las características de integración de Mocha y pruebas de contrato, así como realizó una serie de cambios, incluida la eliminación de configuraciones antiguas y la actualización de las dependencias a la última versión.
Si bien eso puede parecer una actualización útil para un proyecto que está inactivo durante más de nueve meses, ReversingLabs dijo que el actor de amenaza desconocido detrás del ataque logró colarse en dos líneas de código como parte de 43 compromisos y aproximadamente 4,000 líneas cambios que comprometieron toda la extensión.
Esto incluyó la adición de una dependencia de NPM en forma de «KeyThereum-Utils» en el archivo «Package.json» del proyecto e importarlo en el archivo TypeScript vinculado a la extensión del código VS («SRC/Extension.ts»).
Se ha encontrado que la Biblioteca JavaScript, ahora retirada del registro NPM, está muy ofuscada y contiene código para descargar una carga útil de la segunda etapa desconocida. El paquete se ha descargado 495 veces.
Los usuarios llamados 0xLab (versión 1.2.1), 0xLabss (versiones 1.2.2, 1.2.3, 1.2.4) y 1xLab (versión 1.2.7) y 1XLAB (versión 1.2.7) cargó a NPM. Las cuentas de NPM ya no existen.
«Después de desobfuscar el código KeyThereum-Utils, se hizo fácil ver lo que hace el guión: generar un PowerShell oculto que descarga y ejecuta un script por lotes de un servicio público de alojamiento de archivos», dijo el investigador de seguridad Petar Kirhmajer.
Si bien no se conoce la naturaleza exacta de la carga útil, se cree que es una pieza de malware que es capaz de robar activos de criptomonedas o envenenando los contratos que están siendo desarrollados por los usuarios de la extensión.
Después de la divulgación responsable a Microsoft, la extensión se eliminó del mercado de extensiones de código VS. Después de la eliminación de la dependencia maliciosa, la extensión se ha restablecido desde entonces.
«El paquete Ethcode ha sido inédito por Microsoft», dijo 0Mkara, un mantenedor de proyectos para la herramienta, en una solicitud de extracción presentada el 28 de junio «. Detectaron una dependencia maliciosa en Ethcode. Este PR elimina el potencial del repositorio malicioso KeyThereum del paquete».
Ethcode es el último ejemplo de una tendencia más amplia y creciente de los ataques de la cadena de suministro de software, donde los atacantes arman repositorios públicos como PYPI y NPM para entregar malware directamente a los entornos de desarrolladores.
«La cuenta de GitHub AIREZ299 que inició la solicitud de extracción Ethcode se creó el mismo día en que se abrió la solicitud de relaciones públicas», dijo ReversingLabs. «En consecuencia, la cuenta AIREZ299 no tiene ningún historial o actividad previa asociada. Esto indica fuertemente que esta es una cuenta descartable que se creó únicamente con el fin de infectar este repositorio, un objetivo en el que tuvieron éxito».
Según los datos compilados por Sonatype, se descubrieron 16,279 piezas de malware de código abierto en el segundo trimestre de 2025, un salto del 188% año tras año. En comparación, 17,954 piezas de malware de código abierto se descubrieron en el primer trimestre de 2025.
De estos, más de 4.400 paquetes maliciosos fueron diseñados para cosechar y exfiltrar información confidencial, como credenciales y tokens API.
«La corrupción de datos de malware se duplicó en frecuencia, lo que representa el 3% del total de paquetes maliciosos, más de 400 instancias únicas», dijo Sonatype. «Estos paquetes apuntan a dañar archivos, inyectar código malicioso o aplicaciones e infraestructura de sabotaje de otra manera».
El grupo Lázaro vinculado a Corea del Norte se ha atribuido a 107 paquetes maliciosos, que se descargaron colectivamente más de 30,000 veces. Otro conjunto de más de 90 paquetes de NPM se ha asociado con un grupo de amenazas chino denominado Yeshen-Asia que ha estado activo desde al menos diciembre de 2024 para cosechar información del sistema y la lista de procesos de ejecución.
Estos números subrayan la creciente sofisticación de los ataques dirigidos a las tuberías de desarrolladores, y los atacantes explotan cada vez más la confianza en los ecosistemas de código abierto para llevar a cabo compromisos de la cadena de suministro.
«Cada uno fue publicado desde una cuenta de autor distinta, cada uno alojó solo un componente malicioso, y todo se comunicó con infraestructura detrás de los dominios de Yeshen.
«Aunque no se observaron técnicas novedosas en esta segunda ola, el nivel de automatización e reutilización de infraestructura refleja una campaña deliberada y persistente centrada en el robo de credenciales y la exfiltración secreta».
El desarrollo se produce cuando Socket identificó ocho extensiones falsas relacionadas con el juego en la tienda Mozilla Firefox Add-ons que albergaban niveles variables de funcionalidad maliciosa, que van desde adware hasta robo de token de Google Oauth.
Específicamente, también se ha encontrado que algunas de estas extensiones redirigen a los sitios de juego, sirven alertas falsas de virus de Apple y enronzan sigilosamente las sesiones de compras a través de enlaces de seguimiento de afiliados para obtener comisiones e incluso rastrear a los usuarios inyectando seguimiento invisible de seguimiento de Iframes que contienen identificadores únicos.
Los nombres de los complementos, todos publicados por un actor de amenaza con el nombre de usuario «MRE1903», están a continuación –
- Jefe de calsync
- VPN – Agarra un proxy – gratis
- Dar un tope
- Cinco noches en Freddy’s
- Little Alchemy 2
- Burbuja
- 1V1.lol
- Juego de Krunker IO
«Las extensiones del navegador siguen siendo un vector de ataque favorito debido a su estado de confianza, permisos extensos y capacidad para ejecutar dentro del contexto de seguridad del navegador», dijo el investigador de Socket Kush Pandya. «La progresión de las simples estafas de redirección al robo de credenciales OAUTH demuestra cuán rápido evolucionan y escaman estas amenazas».
«Más preocupante, la infraestructura de redirección podría reutilizarse fácilmente por un comportamiento más intrusivo, como un seguimiento integral, la cosecha de credenciales o la distribución de malware».