Un sofisticado ataque de la cadena de suministro ha comprometido Ethcode, una popular extensión de código de estudio de Visual Studio para el desarrollo de Ethereum, a través de una solicitud de extracción de GitHub maliciosa que requería solo dos líneas de código para armarse el software de confianza.
El ataque, descubierto por ReversingLabs Investigadores, demuestra cómo los actores de amenaza pueden infiltrarse en herramientas de desarrollo legítimas con cambios de código mínimos, lo que puede afectar a miles de desarrolladores de criptomonedas en todo el mundo.
El compromiso comenzó el 17 de junio de 2025, cuando un usuario llamado AIREZ299 presentó una solicitud de extracción de GitHub al proyecto Ethcode con el mensaje aparentemente benigno, “Modernizar la base de código con el marco de integración y prueba de viem”.
Ethcode, desarrollado por la organización 7Finney, es una extensión legítima de código VS con casi 6,000 instalaciones de usuarios que permite a los desarrolladores de Ethereum probar, depurar y implementar contratos inteligentes en blockchains basados en EVM.
La solicitud de extracción maliciosa parecía muy beneficiosa a primera vista, afirmando agregar nuevas características, eliminar configuraciones obsoletas y modernizar la base de código.
extensión armada
La presentación fue particularmente convincente porque el proyecto Etcode había estado inactivo durante más de seis meses, y su última actualización legítima ocurrió el 6 de septiembre de 2024.
Tanto los revisores humanos de la Organización 7Finney como el revisor de Copilot Ai de GitHub examinaron el código y no encontraron nada sospechoso, aprobando los cambios después de solicitar modificaciones menores.
Análisis técnico del ataque de dos líneas
Oculto dentro de 43 confirmaciones y aproximadamente 4,000 líneas de código cambiado fueron dos líneas críticas que comprometerían toda la extensión.
La primera línea introdujo una nueva dependencia llamada “KeyThereum-Utils”, ingeniosamente nombrada para aparecer como una biblioteca de ayuda legítima para el paquete existente “KeyThereum” ya utilizado por el proyecto.
Esta convención de nombres fue diseñada para generar sospechas mínimas entre los revisores. La segunda línea de código malicioso invocó la función “Requerir” de Node.js para cargar y ejecutar la dependencia recientemente introducida.
Cuando los investigadores analizaron el paquete KeyThereum-Utils, descubrieron el código JavaScript en gran medida que, cuando se desobfusó, reveló su verdadero propósito: desovar un proceso oculto de PowerShell que descarga y ejecuta un script por lotes de un servicio público de archivos de archivos.
La efectividad del ataque fue amplificada por la función de actualización de extensión automática de VS Code, lo que significa que el código malicioso se distribuyó automáticamente a casi 6,000 usuarios sin su conocimiento.
Código malicioso
ReversingLabs Investigadores de inmediato notificado Los administradores de Visual Studio Marketplace de Microsoft sobre el descubrimiento, lo que resulta en la eliminación completa de la extensión comprometida del mercado antes del 26 de junio.
Desde entonces, el autor de la extensión en 7Finney ha emitido una actualización correctiva, con Ethcode versión 0.5.1 publicada el 1 de julio, eliminando la dependencia maliciosa y restaurando la extensión al mercado.
Sin embargo, los investigadores todavía están investigando las capacidades exactas de la carga útil de la segunda etapa, aunque dada la naturaleza de la criptográfica del objetivo, es probable que tenga como objetivo robar activos de criptomonedas o comprometer los contratos inteligentes de Ethereum en desarrollo.
Este incidente destaca las vulnerabilidades críticas en los flujos de trabajo de desarrollo de software modernos.
El ataque tuvo éxito a pesar de las múltiples capas de revisión porque la cuenta AIREZ299 se creó específicamente para este propósito el mismo día que la solicitud de extracción, sin historia o actividad previa.
El compromiso demuestra que incluso el software legítimo y confiable puede armarse a través de cambios mínimos de código, lo que hace que los ataques de la cadena de suministro sean una amenaza cada vez más grave para la comunidad de desarrollo.
Guía de precios de MSSP: cómo cortar el ruido y el costo oculto-> Obtener su guía gratuita
.webp?w=1600&resize=1600,900&ssl=1){kind=link}