Más de 6.000 desarrolladores comprometidos por una extensión maliciosa en VS Code

Diego Cortes R. martes, julio 08, 2025Compartir:


Una reciente investigación de ReversingLabs ha revelado un ataque de cadena de suministro que afectó a más de 6.000 desarrolladores mediante una extensión de Visual Studio Code (VS Code) llamada Ethcode, utilizada para desplegar contratos inteligentes en blockchains compatibles con la Ethereum Virtual Machine (EVM).

¿Qué es Ethcode y por qué fue el blanco?

Ethcode, lanzada en 2022 por el proyecto 7finney, permite a los desarrolladores escribir, probar y desplegar contratos inteligentes en entornos EVM. Aunque su última actualización legítima fue en septiembre de 2024, el 17 de junio de 2025 un usuario desconocido, Airez299, abrió un pull request en GitHub con el mensaje:

“Modernize codebase with viem integration and testing framework.”

A simple vista, parecía una mejora útil. Pero entre los 43 commits y más de 4.000 líneas de cambios, el atacante logró infiltrar solo dos líneas de código malicioso que comprometieron toda la extensión.

El vector de ataque: keythereum-utils

El atacante introdujo una dependencia npm llamada keythereum-utils, que fue incluida en el archivo package.json y luego importada en el archivo principal de la extensión (src/extension.ts). Esta librería, ahora eliminada del registro npm, estaba fuertemente ofuscada y diseñada para:

  • Ejecutar un PowerShell oculto
  • Descargar y ejecutar un script desde un servicio público de alojamiento de archivos
  • Posiblemente robar criptomonedas o manipular contratos inteligentes en desarrollo

¿Cómo pasó desapercibido?

El ataque fue especialmente sigiloso por varias razones:

  • El pull request venía de una cuenta recién creada sin historial (clásico patrón de cuenta desechable).
  • El mensaje del PR parecía legítimo y técnico.
  • El código malicioso estaba camuflado entre miles de líneas de cambios útiles.
  • La extensión llevaba meses sin mantenimiento, lo que facilitó la infiltración sin revisión activa.

Reacción y mitigación

Tras la denuncia responsable a Microsoft, la extensión fue retirada del Marketplace de VS Code. Posteriormente, se eliminó la dependencia maliciosa y Ethcode fue reinstaurada con una versión limpia.

Lecciones clave para desarrolladores y equipos de seguridad

Este incidente es un recordatorio urgente de los riesgos en la cadena de suministro de software:

  • Revisar cuidadosamente los pull requests, especialmente en proyectos inactivos.
  • Auditar dependencias nuevas antes de aceptarlas, incluso si parecen útiles.
  • Evitar ejecutar código de PRs no verificados en entornos de CI/CD.
  • Monitorear extensiones y paquetes publicados en marketplaces como npm o VS Code.

Conclusión

La sofisticación de este ataque demuestra que los actores maliciosos están apuntando directamente al ecosistema de desarrollo. No basta con proteger el producto final: el entorno de desarrollo también es un objetivo.

Fuente: https://thehackernews.com/2025/07/malicious-pull-request-infects-6000.html

Si te gusta este contenido, no olvides seguirnos en nuestras redes sociales!:

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!