Cet article de ReversingLabs (RL) rapporte une attaque de la chaîne d’approvisionnement affectant l’extension ETHcode, un outil pour le développement de contrats intelligents Ethereum sur Visual Studio Code.
ETHcode, développé par l’organisation GitHub 7finney, a été compromis par une pull request (PR) soumise par un utilisateur nommé Airez299. Cette PR, apparemment innocente, a introduit une dépendance malveillante nommée keythereum-utils, qui a permis l’exécution de code malveillant.
L’analyse de RL a révélé que keythereum-utils contenait un code JavaScript fortement obfusqué, conçu pour lancer un script PowerShell caché téléchargeant un second payload potentiellement destiné à voler des actifs crypto ou compromettre des contrats Ethereum en développement.
Suite à cette découverte, l’extension a été retirée du Visual Studio Marketplace et une version corrigée, ETHcode 0.5.1, a été publiée. RL continue d’enquêter sur cette campagne malveillante et a partagé des indicateurs de compromission (IoCs), notamment les versions et les hash SHA-1 des paquets malveillants.
Cet article est une publication de recherche visant à informer la communauté sur les risques des attaques de la chaîne d’approvisionnement dans le secteur des cryptomonnaies.
🧠 TTPs et IOCs détectés
TTP
T1195.002 - Compromise Software Supply Chain
IOC
keythereum-utils (malicious dependency), ETHcode versions before 0.5.1, hash SHA-1 of malicious packages
🔗 Source originale : https://www.reversinglabs.com/blog/malicious-pull-request-infects-vscode-extension