Ein Pull Request als trojanisches Pferd : Supply-Chain-Angriff kompromittiert VS-Code-Erweiterung

Das Update schien auf den ersten Blick sehr hilfreich und geeignet, das Projekt ein gutes Stück nach vorne zu bringen. Wie ReversingLabs allerdings später entdeckte, versteckte sich darin gezielter Schadcode. Der Angreifer hatte es geschafft, zwei unscheinbare, aber gefährliche Codezeilen inmitten von 43 Commits (grundlegende Bausteine im Versionskontrollsystem von Git) und rund 4.000 Codeänderungen einzuschleusen – genug, um die gesamte Erweiterung zu kompromittieren.

Kern des Angriffs war eine neue Software-Abhängigkeit namens keythereum-utils, die in der Datei package.json eingetragen und im zentralen TypeScript-Code (src/extension.ts) der Erweiterung eingebunden wurde.

Diese Bibliothek war stark verschleiert und enthielt versteckten Schadcode. Nach der Analyse wurde klar: Sie startete im Hintergrund eine unsichtbare PowerShell, die ein weiteres Skript aus dem Internet herunterlud und ausführte. Die schadhafte Datei wurde insgesamt 495 Mal heruntergeladen, bevor sie aus dem npm-Register entfernt wurde.

Zwischen dem 17. und 21. Juni 2025 tauchten sieben Versionen von keythereum-utils im npm-Register auf – hochgeladen von verschiedenen Nutzern mit ähnlichen Namen wie 0xlab, 0xlabss und 1xlab. Alle zugehörigen Konten wurden inzwischen gelöscht.

Sicherheitsforscher Petar Kirhmajer erklärte: „Nach dem Entschlüsseln des Codes war sofort ersichtlich, dass er eine versteckte PowerShell startet, um ein Skript von einem öffentlichen Filehoster herunterzuladen und auszuführen.“

Was genau dieses nachgeladene Skript macht, ist noch nicht vollständig bekannt. Wahrscheinlich sollte es entweder Kryptowährungen stehlen oder Smart Contracts manipulieren, die mit der kompromittierten Erweiterung entwickelt wurden.

Reaktion der Community und Microsofts Eingriff

Nach der verantwortungsvollen Meldung an Microsoft wurde die Erweiterung zunächst aus dem Marktplatz für Visual-Studio-Code-Erweiterungen entfernt. Der Maintainer 0mkara bestätigte in einem eigenen Pull Request am 28. Juni 2025 die Entfernung des bösartigen Codes. Inzwischen ist Ethcode wieder verfügbar – bereinigt und unter Beobachtung.

Supply-Chain-Angriffe bei Open Source auf dem Vormarsch

Der Fall Ethcode ist kein Einzelfall, sondern Teil eines gefährlichen Trends. Laut dem Sicherheitsunternehmen Sonatype wurden im zweiten Quartal 2025 über 16.000 schädliche Open-Source-Pakete entdeckt – fast doppelt so viele wie im Vorjahr. Mehr als 4.400 dieser Pakete waren gezielt darauf ausgelegt, sensible Informationen wie Passwörter und API-Schlüssel zu stehlen. Auch die Zahl der Schadpakete, die Daten absichtlich zerstören oder manipulieren sollen, hat sich stark erhöht.

Auch staatlich gelenkte Gruppen mischen mit: Die Lazarus-Gruppe aus Nordkorea wird mit über 100 Schadpaketen in Verbindung gebracht, chinesische Akteure wie die Gruppe Yeshen-Asia nutzten seit Dezember 2024 über 90 npm-Pakete, um Systeminformationen abzugreifen.

Die zunehmende Professionalisierung dieser Angriffe lässt sich an der Infrastruktur erkennen: Jedes Schadpaket wurde über ein eigenes npm-Konto mit nur einem Modul verbreitet – alle kommunizierten mit Servern hinter Cloudflare-geschützten yeshen.asia-Domains. Zwar wurden in dieser zweiten Angriffswelle keine neuen Angriffstechniken beobachtet, doch Automatisierung, Koordination und Wiederverwendung sprechen für eine langfristig angelegte, präzise Operation zur Ausspähung von Entwicklerumgebungen.

Gefährliche Firefox-Erweiterungen tarnen sich als Spiele-Add-ons

Während sich die Sicherheitslage bei Entwickler-Tools zuspitzt, schlägt das Sicherheitsunternehmen Socket nun Alarm wegen gefälschter Firefox-Erweiterungen: Acht scheinbar harmlose Spiele-Add-ons im offiziellen Mozilla-Store entpuppten sich als getarnte Schadsoftware. Die Palette der Funktionen reicht von aufdringlicher Werbung bis hin zum Abgreifen von Google-OAuth-Zugangsdaten.

Einige dieser Erweiterungen führten Nutzer unbemerkt auf Glücksspielseiten weiter, zeigten betrügerische Warnhinweise über angebliche Viren auf Apple-Geräten an oder nutzten Online-Einkäufe aus, um durch versteckte Affiliate-Links heimlich Verkaufsprovisionen zu verdienen. Besonders hinterhältig war der Einsatz unsichtbarer Tracking-Techniken: Dabei wurden im Hintergrund winzige, für den Nutzer nicht sichtbare Elemente in Webseiten eingebaut, die mit eindeutigen Kennungen versehen waren – um das Surfverhalten der Nutzer präzise nachverfolgen und analysieren zu können.

Die folgenden Add-ons, alle veröffentlicht vom Nutzer mre1903, wurden als schädlich identifiziert:

• CalSyncMaster
• VPN – Grab a Proxy – Free
• GimmeGimme
• Five Nights at Freddy’s
• Little Alchemy 2
• Bubble Spinner
• 1v1.LOL
• Krunker io Game

Laut dem Sicherheitsforscher Kush Pandya vom Unternehmen Socket zählen Browser-Erweiterungen nach wie vor zu den bevorzugten Einfallstoren für Cyberkriminelle: „Sie genießen hohes Vertrauen, erhalten weitreichende Berechtigungen und agieren direkt im Sicherheitskontext des Browsers.“ Genau darin liegt die Gefahr – denn Angriffe, die früher auf einfache Weiterleitungen beschränkt waren, zielen inzwischen gezielt auf vertrauliche Informationen wie Zugangsdaten ab. Das verdeutlicht, wie rasant sich diese Bedrohungen weiterentwickeln.

Besonders brisant: Die vorhandene Infrastruktur für Umleitungen lässt sich jederzeit für gravierendere Angriffsformen umfunktionieren – etwa für flächendeckendes Tracking, den Diebstahl von Zugangsdaten oder das Einschleusen von Schadsoftware.

Fazit

Der Vorfall rund um Ethcode unterstreicht, wie leicht sich Angreifer in Softwarelieferketten einschleusen können – besonders in Open-Source-Projekten mit geringer Wartung. Entwickler sollten Sicherheitsupdates ernst nehmen, Pull Requests kritisch prüfen und ihre Entwicklungsumgebung regelmäßig auf verdächtige Abhängigkeiten hin untersuchen. Die nächste Infektion könnte sonst nur einen Commit entfernt sein.