近期,安全专家披露了一场针对Microsoft Visual Studio Code(VS Code)扩展——Ethcode的供应链攻击,波及超过6000名开发者。Ethcode是一款用于以太坊虚拟机(EVM)智能合约部署和执行的关键工具,因其在区块链开发领域的实用性备受青睐。然而,一次恶意GitHub拉取请求的成功入侵,暴露了该扩展面临的巨大安全隐患,反映出软件供应链攻击日益严峻的态势。事件起因于2025年6月17日,一名名为Airez299的GitHub用户发起了一次看似正常的拉取请求,宣称引入先进的viem集成和测试框架,同时升级依赖和优化代码库。该账户在同日创建,毫无历史活动,这一伪装掩盖了袭击者隐藏的恶意目的。经过43次代码提交,改动涉及约4000行代码。
乍看之下,这些更新似乎推动项目走向现代化,但实际上,攻击者巧妙地植入了两行恶意代码,将一个名为"keythereum-utils"的npm依赖添加到项目中,并在核心TypeScript文件中导入它。此依赖包原本可从npm注册中心下载,但随即被下架。安全研究人员发现,“keythereum-utils”高度混淆,包含执行隐藏PowerShell脚本命令的代码,后续再从公共文件托管服务下载并运行批处理脚本。虽然尚不明确该二次载荷的全部功能,但业内普遍推测其用途可能是盗窃加密资产或破坏智能合约代码,威胁极具破坏性。作为曾经由7finney于2022年首次发布的扩展,Ethcode自去年9月以来并未获得非恶意更新,攻陷事件暴露出软件维护停滞与安全重视不足的风险。该事件不仅损害约6000多位用户的信任和项目安全,更映射出开放源码生态系统中日益猖獗的供应链攻击手法。
此次恶意依赖分几个版本上传,发布者账号陆续注销,表明背后攻击组织有较高的作案隐蔽性和自动化水平。安全公司ReversingLabs的研究指出,这种利用短暂存在的空白账号发起拉取请求的策略日渐常见,攻击者通过伪装合理的更新掩盖植入恶意代码的企图,骗取项目维护者合并导致供应链被入侵成为可能。对此,微软迅速作出反应,一举下架Ethcode扩展,随后由项目维护人员提交补丁,移除恶意依赖,扩展功能得以恢复。这一事件得到了安全社区的广泛关注,反映供应链安全监管和开发者安全意识的进一步提升需求。更广泛来看,2025年第二季度,开源恶意软件呈爆发式增长,与去年同期相比激增188%,超1.6万余恶意软件包被发现。多数针对盗取敏感信息如凭据、API令牌,破坏数据或植入恶意代码的攻击层出不穷。
虽无重大创新攻击技术,但高度的自动化和基础设施重用彰显攻击者持续且精准的攻击策略。尤其值得警惕的是,有国家支持的黑客组织诸如朝鲜的Lazarus集团和中国相关威胁集群Yeshen-Asia频繁发布恶意npm包,目标直指研发管道中的机密和凭据窃取。此次Ethcode事件恰恰说明,开发者及组织若未对开源组件来源及变更进行严格审查,将可能遭遇灾难性后果。此外,浏览器扩展作为另一安全盲区同样受到了攻击者的青睐。不久前,Mozilla Firefox插件市场被发现有多达八个以游戏为主题的假冒扩展,内藏从广告软件到OAuth令牌窃取的不良功能,影响用户隐私和安全。这些例证警示业界,开放生态的信任机制已成为新的攻击靶心,防御策略亟需从根本上升级。
针对开发者,安全从业人员建议增强对拉取请求来源的审查与验证,实行多层次代码审计机制,加强依赖库的严密筛查与行为分析。同时,构建持续集成/持续交付(CI/CD)管道中的安全防护,如自动识别异常提交和权限异常行为等,有助于及早发现潜在风险。组织层面应强化安全文化建设,打破盲点,定期开展针对开源组件和第三方库的风险评估与安全培训,应用零信任模型和最小权限原则降低泄露面。最终,供应链安全不仅是单一软件或扩展的责任,而是整个软件开发生态系统需共同承担的挑战。Ethcode VS Code扩展遭遇的供应链攻击事件,是对全球开发者及企业敲响的警钟。如何平衡开源创新的便利与安全风险,构建可信、透明的合作环境,将是未来数字基础设施稳定与安全的关键所在。
通过高度重视依赖关系管理、实时威胁监测与多方协作,开发者社区有望有效遏制此类高级持续威胁,推动软件供应链向更安全、更可控的方向前进。
