В последнее время вопросы безопасности при использовании расширений для Visual Studio Code привлекают все больше внимания специалистов в сфере кибербезопасности и разработчиков по всему миру. Недавний инцидент, связанный с расширением Ethcode, которое используется для работы с ethereum smart-контрактами, продемонстрировал, насколько уязвимы могут оказаться даже популярные инструменты в среде разработки. Более 6000 человек установили это расширение, и именно оно стало мишенью целенаправленной атаки через вредоносный pull request на GitHub, что вызвало масштабные последствия и тревогу в индустрии. История Ethcode ярко иллюстрирует рост угроз в цепочках поставок, когда злоумышленники проникают в доверенные репозитории, внедряя вредоносный код, что ставит под угрозу миллионы пользователей и их проекты. Ethcode, созданное компанией 7finney в 2022 году, изначально возникло как удобный инструмент для разработки и деплоя Solidity контрактов на платформах, совместимых с Ethereum Virtual Machine (EVM).
Для разработчиков блокчейн проектов это расширение значительно упрощало жизнь, предлагая интеграцию непосредственно в Visual Studio Code и поддержку разнообразных операций с умными контрактами. Однако после длительного периода без значительных обновлений — последний безопасный апдейт был в сентябре 2024 года — проект неожиданно изменился. 17 июня 2025 года неизвестный пользователь под ником Airez299 открыл pull request, заявляя о модернизации кода, интеграции новой тестовой среды на базе Mocha и обновлении зависимостей. На первый взгляд апдейт выглядел полезным, но за видимой рутиной скрывалась опасность. В ходе анализа специалистами компании ReversingLabs было выявлено, что данный pull request содержал тайные добавления вредоносного кода, который включал в себя новую npm зависимость под названием "keythereum-utils".
Пакет оказал значительное влияние на работу расширения, пропуская в него скрытый PowerShell скрипт, который загружал и запускал вредоносный батч-файл с отдаленного сервера. Разработчики смогли обнаружить, что библиотека была сильно обфусцирована и теперь удалена из npm-репозитория, однако за короткий срок ее скачали почти 500 раз. Учетные записи, выпустившие этот пакет, исчезли, что свидетельствует об использовании временных или фасадных аккаунтов для проведения атаки. Злоумышленники воспользовались особенностями распространенной модели разработки с открытым исходным кодом, где доверие к независимым контрибьюторам и автоматизация труда зачастую упрощают проникновение вредоносного программного обеспечения. Созданный специально для данной атаки GitHub аккаунт Airez299 появился в день подачи pull request и не имел никакой истории активности, что явно указывает на спланированную операцию с целью компрометации.
Вредоносные изменения содержали около 4000 строк кода и 43 коммита — большой объем, который мог увести внимание проверяющих. Эксперты в кибербезопасности предупреждают, что подобные инциденты – лишь верхушка айсберга. Вторая половина 2025 года зафиксировала резкий рост количества вредоносных пакетов в популярных репозиториях npm и PyPI, что повлекло значительные риски для миллионов разработчиков и корпоративных клиентов. Так, по данным Sonatype, во втором квартале 2025 года было обнаружено свыше 16 тысяч вредоносных пакетов, что почти в три раза превышает показатели предыдущего года. Многие из них нацелены на кражу учетных данных, API-токенов и секретов, а другие занимаются саботажем кода и уничтожением данных.
Особую тревогу вызывает участие в подобных кампаниях известных кибергруппировок с государственным финансированием, таких как северокорейская Lazarus Group и китайский кластер Yeshen-Asia. Их деятельности присущи высокая степень автоматизации, многочисленные фасадные аккаунты и использование инфраструктуры, защищённой через Cloudflare, что усложняет их обнаружение и блокировку. Такой профессиональный уровень позволяет им успешно интегрировать вредоносный код в крупные проекты, в том числе через обновления и зависимости, которые устанавливаются разработчиками без должного контроля. Случай с Ethcode наглядно показывает, насколько важно внедрять строгие процессы проверки безопасности цепочек поставок программного обеспечения, особенно для инструментов, используемых в критичных сферах, таких как криптовалюты и блокчейн. Ответственные разработчики совместно с платформами вроде Microsoft уже принимают меры, быстро удаляя заражённые расширения из маркетплейсов и выпускают обновления, очищенные от вредоносных компонентов.
Впрочем, глобальный рост подобных атак говорит о необходимости повышения осведомленности в сообществе разработчиков, обладающих средством контроля используемых библиотек и их зависимостей, а также внедрения современных методов анализа кода с использованием поведения и содержания пакетов. Программистам стоит регулярно отслеживать изменения в используемых расширениях, уделять особое внимание новым pull request и зависимостям, а также применять стандарты безопасной разработки и развертывания. В современной цифровой экосистеме разработчики оказываются на передовой в войне против вредоносного ПО. Недавний инцидент с Ethcode служит напоминанием, что даже у проверенных временем и популярностью продуктов есть уязвимости, которые можно использовать для компрометации миллионов пользователей. Принимая взвешенные и продуманные меры безопасности, а также поддерживая культуру прозрачности и ответственности в Open Source, индустрия сможет противостоять росту этих сложных и изощренных угроз.
