Siber güvenlik araştırmacıları, bir Microsoft Visual Studio Kodunu (VS Kodu) hedefleyen bir tedarik zinciri saldırısını işaretledi. Etcode Bu 6.000’den biraz fazla kuruldu.
ReversingLabs başına uzlaşma, 17 Haziran 2025’te Airez299 adlı bir kullanıcı tarafından açılan bir GitHub çekme isteği ile meydana geldi.
İlk olarak 7finney tarafından 2022’de yayınlanan Ethcode, Ethereum Virtual Machine (EVM) tabanlı blok zincirlerinde sağlam akıllı sözleşmeleri dağıtmak ve yürütmek için kullanılan bir vs kod uzantısıdır. EVM, Ethereum ağında akıllı sözleşmeler yapmak için tasarlanmış merkezi olmayan bir hesaplama motorudur.
Tedarik Zinciri Güvenlik Şirketi’ne göre, GitHub projesi 6 Eylül 2024’te son kötü olmayan güncellemesini aldı. Bu, Airez299’un “Kod tabanını Viem entegrasyonu ve test çerçevesi ile modernize et” mesajıyla bir çekme talebi açtığında değişti.
Kullanıcı, Mocha entegrasyonu ve sözleşme test özellikleri ile yeni bir test çerçevesi eklediğini ve eski yapılandırmaları kaldırmak ve en son sürüme bağımlılıkları güncellemek de dahil olmak üzere bir dizi değişiklik yaptığını iddia etti.
Bu, dokuz aydan fazla bir süredir uykuda duran bir proje için yararlı bir güncelleme gibi görünse de, ReversingLabs, saldırının arkasındaki bilinmeyen tehdit aktörünün 43 taahhütün bir parçası olarak iki kod çizgisinde gizlice girmeyi başardığını ve tüm uzantıyı tehlikeye atan yaklaşık 4.000 satır değişiklik olduğunu söyledi.
Bu, projenin paketinde “KeyThereum-Utils” şeklinde bir NPM bağımlılığının eklenmesini ve VS kodu uzantısına bağlı TypeScript dosyasında içe aktarmayı (“src/extension.ts”) içeriyordu.
Şimdi NPM kayıt defterinden alınan JavaScript kütüphanesinin yoğun bir şekilde gizlendiği bulundu ve bilinmeyen bir ikinci aşama yükü indirmek için kod içeriyor. Paket 495 kez indirildi.
“KeyThereum-Utils” nin birden fazla sürümü 0xLab (sürüm 1.2.1), 0xLabss (sürüm 1.2.2, 1.2.3, 1.2.4, 1.2.5 ve 1.2.6) ve 1xlab (sürüm 1.2.7) adlı kullanıcılar tarafından NPM’ye yüklendi. NPM hesapları artık mevcut değil.
Güvenlik araştırmacısı Petar Kirhmajer, “KeyTherum-Utils kodunu bozduktan sonra, komut dosyasının ne yaptığını görmek kolaylaştı: kamuya açık bir dosya barındırma hizmetinden bir parti komut dosyasını indiren ve çalıştıran gizli bir powershell ortaya çıktı.” Dedi.
Yükün kesin doğası bilinmemekle birlikte, kripto para birimi varlıklarını çalabilen veya uzantının kullanıcıları tarafından geliştirilen sözleşmeleri zehirleyebilen bir kötü amaçlı yazılım parçası olduğuna inanılmaktadır.
Microsoft’a sorumlu açıklamanın ardından, uzantı VS Kodu Uzantıları pazarından kaldırıldı. Kötü niyetli bağımlılığın kaldırılmasından sonra, uzatma o zamandan beri eski haline getirildi.
“Ethcode Paketi Microsoft tarafından yayınlanmadı”, araç için bir proje bakıcısı olan 0mkara, 28 Haziran’da gönderilen bir çekme talebinde, “Ethcode’da kötü niyetli bir bağımlılık tespit ettiler. Bu PR, paketten potansiyel kötü amaçlı depo keyfi’yi kaldırıyor.”
Ethcode, saldırganların kötü amaçlı yazılımları doğrudan geliştirici ortamlarına sunmak için PYPI ve NPM gibi kamu depolarını silahlandırdığı yazılım tedarik zinciri saldırılarının daha geniş ve artan bir eğiliminin en son örneğidir.
ReversingLabs, “Ethcode çekme isteğini başlatan GitHub hesabı Airez299, PR talebi açıldığında aynı gün oluşturuldu.” Dedi. “Buna göre, Airez299 hesabının kendisiyle ilişkili daha önce herhangi bir geçmişi veya etkinliği yoktur. Bu, bunun sadece bu repoyu enfekte etmek amacıyla yaratılan bir atış hesabı olduğunu ve başarılı oldukları bir hedef olduğunu güçlü bir şekilde gösteriyor.”
Sonatype tarafından derlenen verilere göre, yıllık% 188’lik bir sıçrama olan 2025’in ikinci çeyreğinde 16.279 adet açık kaynak kötü amaçlı yazılım keşfedildi. Buna karşılık, 2025’in ilk çeyreğinde 17.954 açık kaynaklı kötü amaçlı yazılım ortaya çıktı.
Bunlardan 4.400’den fazla kötü niyetli paket, kimlik bilgileri ve API jetonları gibi hassas bilgileri hasat etmek ve doldurmak için tasarlanmıştır.
Sonatype, “Veri yolsuzluğunu hedefleyen kötü amaçlı yazılım sıklıkta iki katına çıktı, toplam kötü amaçlı paketlerin% 3’ünü oluşturdu – 400’den fazla benzersiz örnek.” Dedi. “Bu paketler dosyalara zarar vermeyi, kötü amaçlı kodlar enjekte etmeyi veya uygulamaları ve altyapıyı sabote etmeyi amaçlıyor.”
Kuzey Kore bağlantılı Lazarus Grubu, toplu olarak 30.000’den fazla kez indirilen 107 kötü amaçlı pakete atfedildi. 90’dan fazla NPM paketinin bir başka seti, en azından Aralık 2024’ten beri sistem bilgilerini ve çalışan süreçlerinin listesini hasat etmek için aktif olan Yeshen-Asya olarak adlandırılan bir Çin tehdit kümesiyle ilişkilendirilmiştir.
Bu rakamlar, geliştirici boru hatlarını hedefleyen saldırıların artan sofistike olmasının altını çiziyor ve saldırganlar, tedarik zinciri uzlaşmaları yapmak için açık kaynaklı ekosistemlere olan güvenden giderek daha fazla yararlanıyor.
Şirket, “Her biri farklı bir yazar hesabından yayınlandı, her biri sadece bir kötü niyetli bileşene ev sahipliği yaptı ve hepsi Cloudflare korumalı Yeshen.Asia alanlarının arkasındaki altyapı ile iletişim kurdu.” Dedi.
“Bu ikinci dalgada yeni bir teknik gözlenmemiş olsa da, otomasyon ve altyapı yeniden kullanımı seviyesi, kimlik bilgisi hırsızlığı ve gizli exfiltrasyona odaklanan kasıtlı, kalıcı bir kampanyayı yansıtıyor.”
Geliştirme, Mozilla Firefox eklentileri deposunda, reklam yazılımından Google OAuth token hırsızlığına kadar değişen kötü niyetli işlevleri barındıran sekiz sahte oyunla ilgili uzantıyı tanımladığı gibi geliyor.
Özellikle, bu uzantıların bazılarının kumar sitelerine yönlendirdiği, sahte elma virüsü uyarılarına hizmet verdiği ve komisyon kazanmak için bağlı kuruluş izleme bağlantıları aracılığıyla alışveriş oturumlarını gizlice yönlendirdiği ve hatta benzersiz tanımlayıcılar içeren görünmez izleme IFREM’leri enjekte ederek izlediği bulunmuştur.
“MRE1903” kullanıcı adı ile bir tehdit aktörü tarafından yayınlanan eklentilerin adları aşağıda –
- Calsyncmaster
- VPN – Bir Proxy Al – Ücretsiz
- Gimmegimme
- Freddy’s’de beş gece
- Küçük Simya 2
- Kabarcık spinner
- 1v1.lol
- Krunker IO oyunu
Soket araştırmacısı Kush Pandya, “Tarayıcı uzantıları, güvenilir durumları, kapsamlı izinleri ve tarayıcının güvenlik bağlamında yürütme yetenekleri nedeniyle tercih edilen bir saldırı vektörü olmaya devam ediyor.” Dedi. Diyerek şöyle devam etti: “Basit yönlendirme dolandırıcılığından OAuth kimlik hırsızlığına ilerleme, bu tehditlerin ne kadar hızlı geliştiğini ve ölçeklendiğini gösteriyor.”
“Daha çok, yönlendirme altyapısı kapsamlı izleme, kimlik bilgisi hasat veya kötü amaçlı yazılım dağıtımı gibi daha müdahaleci davranışlar için kolayca yeniden tasarlanabilir.”