17 июня 2025 года пользователь "Airez299" открыл pull request для расширения VS Code Ethcode. Целью атаки стала популярная утилита, установленная более 6000 раз, помогающая разработчикам работать со смарт-контрактами для Ethereum Virtual Machine. Злоумышленник предложил «модернизацию кодовой базы с интеграцией viem и тестового фреймворка».
Под видом полезных изменений в 43 коммитах и 4000 строках кода скрывались две опасные строки. Они добавляли зависимость от пакета npm "keythereum-utils". Исследователи ReversingLabs, обнаружившие атаку, выяснили, что этот пакет содержал сильно обфусцированный код. После деобфускации выявился механизм: скрытый PowerShell загружал и запускал пакетный скрипт с публичного файлообменника.
Пакет "keythereum-utils", скачанный 495 раз, был оперативно удален из реестра npm. Его загружали с несуществующих ныне аккаунтов "0xlab" (версия 1.2.1), "0xlabss" (версии 1.2.2-1.2.6) и "1xlab" (версия 1.2.7) в период с 17 по 21 июня 2025. Эксперты считают, что вредоносная нагрузка могла красть криптоактивы или заражать смарт-контракты пользователей Ethcode, созданного "7finney" в 2022 году и последний раз легитимно обновленного 6 сентября 2024.
28 июня 2025 мейнтейнер "0mkara" устранил угрозу, удалив вредоносную зависимость после снятия Ethcode с публикации Microsoft. Аккаунт "Airez299", созданный в день атаки без истории активности, признан одноразовым. Это часть растущей волны supply-chain атак через публичные репозитории.
Данные Sonatype за II квартал 2025 подтверждают тренд: обнаружено 16 279 зловредных пакетов, рост на 188% в годовом исчислении. Свыше 4400 пакетов нацелены на кражу данных, а вредоносное ПО для порчи данных удвоилось (3% от общего числа, >400 экземпляров). Группировка Lazarus распространила 107 вредоносных npm-пакетов (>30 000 загрузок), а кластер Yeshen-Asia с декабря 2024 выпустил >90 пакетов для кражи системных данных и учетных данных.
Параллельно Socket обнаружил 8 поддельных игровых расширений Firefox от "mre1903": CalSyncMaster, VPN – Grab a Proxy – Free, GimmeGimme, Five Nights at Freddy's, Little Alchemy 2, Bubble Spinner, и Krunker io Game. Они варьировались от рекламного ПО до кражи OAuth-токенов Google. Исследователь Kush Pandya отмечает эволюцию угрозы: расширения, пользующиеся доверием и обладающие широкими правами, теперь активно используются для сложных атак, а их инфраструктура может быть перепрофилирована для массового сбора данных.
Изображение носит иллюстративный характер
Под видом полезных изменений в 43 коммитах и 4000 строках кода скрывались две опасные строки. Они добавляли зависимость от пакета npm "keythereum-utils". Исследователи ReversingLabs, обнаружившие атаку, выяснили, что этот пакет содержал сильно обфусцированный код. После деобфускации выявился механизм: скрытый PowerShell загружал и запускал пакетный скрипт с публичного файлообменника.
Пакет "keythereum-utils", скачанный 495 раз, был оперативно удален из реестра npm. Его загружали с несуществующих ныне аккаунтов "0xlab" (версия 1.2.1), "0xlabss" (версии 1.2.2-1.2.6) и "1xlab" (версия 1.2.7) в период с 17 по 21 июня 2025. Эксперты считают, что вредоносная нагрузка могла красть криптоактивы или заражать смарт-контракты пользователей Ethcode, созданного "7finney" в 2022 году и последний раз легитимно обновленного 6 сентября 2024.
28 июня 2025 мейнтейнер "0mkara" устранил угрозу, удалив вредоносную зависимость после снятия Ethcode с публикации Microsoft. Аккаунт "Airez299", созданный в день атаки без истории активности, признан одноразовым. Это часть растущей волны supply-chain атак через публичные репозитории.
Данные Sonatype за II квартал 2025 подтверждают тренд: обнаружено 16 279 зловредных пакетов, рост на 188% в годовом исчислении. Свыше 4400 пакетов нацелены на кражу данных, а вредоносное ПО для порчи данных удвоилось (3% от общего числа, >400 экземпляров). Группировка Lazarus распространила 107 вредоносных npm-пакетов (>30 000 загрузок), а кластер Yeshen-Asia с декабря 2024 выпустил >90 пакетов для кражи системных данных и учетных данных.
Параллельно Socket обнаружил 8 поддельных игровых расширений Firefox от "mre1903": CalSyncMaster, VPN – Grab a Proxy – Free, GimmeGimme, Five Nights at Freddy's, Little Alchemy 2, Bubble Spinner, и Krunker io Game. Они варьировались от рекламного ПО до кражи OAuth-токенов Google. Исследователь Kush Pandya отмечает эволюцию угрозы: расширения, пользующиеся доверием и обладающие широкими правами, теперь активно используются для сложных атак, а их инфраструктура может быть перепрофилирована для массового сбора данных.
