.webp?w=696&resize=696,0&ssl=1 "VS kod uzantısı tehlikeye atıldı")
Sofistike bir tedarik zinciri saldırısı, ethereum geliştirme için popüler bir Visual Studio kodu uzantısı olan etcode, güvenilir yazılımı silahlandırmak için sadece iki satır kod gerektiren kötü amaçlı bir gitithub çekme isteği ile tehlikeye attı.
ReversingLabs araştırmacıları tarafından keşfedilen saldırı, tehdit aktörlerinin meşru kalkınma araçlarını asgari kod değişiklikleriyle nasıl sızabileceğini ve potansiyel olarak dünya çapında binlerce kripto para geliştiricisini etkileyebileceğini gösteriyor.
Uzlaşma, 17 Haziran 2025’te Airez299 adlı bir kullanıcının, “Viem entegrasyonu ve test çerçevesi ile kod tabanını modernize et” ile etcode projesine bir github çekme isteği gönderdiği zaman başladı.
7Finney organizasyonu tarafından geliştirilen Ethcode, Ethereum geliştiricilerinin EVM tabanlı blockchains arasında akıllı sözleşmeleri test etmesini, hata ayıklamasını ve dağıtmasını sağlayan yaklaşık 6.000 kullanıcı kurulumuna sahip meşru bir vs kod uzantısıdır.
Kötü niyetli çekme isteği, yeni özellikler eklediğini, modası geçmiş yapılandırmaları kaldırmayı ve kod tabanını modernize ettiğini iddia ederek ilk bakışta oldukça faydalı görünüyordu.
Sunum özellikle ikna ediciydi çünkü etcode projesi altı aydan fazla uykuda kaldı ve son meşru güncellemesi 6 Eylül 2024’te gerçekleşti.
7finney organizasyonundan hem de GitHub’ın Copilot AI incelemesinden hem insan gözden geçirenler kodu inceledi ve küçük değişiklikler talep ettikten sonra değişiklikleri onaylayan şüpheli bir şey bulamadı.
İki hat saldırısının teknik analizi
43 taahhüt içinde gizlenmiş ve yaklaşık 4.000 satır değiştirilmiş kod, tüm uzantıyı tehlikeye atacak iki kritik çizgi vardı.
İlk satır, proje tarafından zaten kullanılan mevcut “KeyThereum” paketi için meşru bir yardımcı kütüphanesi olarak görünmek için akıllıca adlandırılan “KeytheRum-Utils” adlı yeni bir bağımlılık getirdi.
Bu adlandırma sözleşmesi, gözden geçirenler arasında asgari şüphe uyandırmak için tasarlanmıştır. Kötü niyetli kodun ikinci satırı, yeni tanıtılan bağımlılığı yüklemek ve yürütmek için Node.js’nin “gerekli” işlevini çağırdı.
Araştırmacılar KeyTheRum-Utils paketini analiz ettiklerinde, tefsir edildiğinde gerçek amacını ortaya çıkaran yoğun bir şekilde gizlenmiş JavaScript kodunu keşfettiler: bir toplu komut dosyasını bir kamu dosya-hosting hizmetinden indiren ve yürüten gizli bir PowerShell sürecini ortaya çıkardılar.
Saldırının etkinliği, VS Code’un otomatik uzantı güncelleme özelliği ile güçlendirildi, bu da kötü amaçlı kodun bilgisi olmadan yaklaşık 6.000 kullanıcıya otomatik olarak dağıtıldığı anlamına geliyor.
ReversingLabs araştırmacıları derhal Microsoft’un Visual Studio Marketplace yöneticilerini keşif hakkında bilgilendirdi ve bu da 26 Haziran’a kadar pazardan ödün verilen uzatmanın tamamen kaldırılmasına neden oldu.
Uzantının 7finney’deki yazarı, 1 Temmuz’da yayınlanan Ethcode sürümü 0.5.1 ile kötü niyetli bağımlılığı kaldırarak ve pazarın uzantısını geri yükleyerek düzeltici bir güncelleme yayınladı.
Bununla birlikte, araştırmacılar hala ikinci aşama yükün kesin yeteneklerini araştırıyorlar, ancak hedefin kripto odaklı doğası göz önüne alındığında, muhtemelen kripto para birimi varlıklarını çalmayı veya geliştirilen Ethereum akıllı sözleşmelerini tehlikeye atmayı amaçlamaktadır.
Bu olay, modern yazılım geliştirme iş akışlarındaki kritik güvenlik açıklarını vurgulamaktadır.
Saldırı, birden fazla inceleme katmanına rağmen başarılı oldu, çünkü Airez299 hesabı, daha önceki geçmiş veya faaliyet olmadan, çekme isteği ile aynı gün için özel olarak oluşturuldu.
Uzlaşma, güvenilir, meşru yazılımın bile minimal kod değişiklikleri ile silahlandırılabileceğini ve tedarik zinciri saldırılarını kalkınma topluluğu için giderek daha ciddi bir tehdit haline getirebileceğini gösteriyor.
MSSP Pricing Guide: How to Cut Through the Noise and the Hidden Cost-> Get Your Free Guide