Ein bösartiger Angriff auf die ETHcode-Erweiterung für VS Code hat die Krypto-Community erschüttert. Nur zwei Zeilen Schadcode reichten aus, um potenziell Tausende von Entwickler-Systemen zu kompromittieren. Ein Weckruf für die gesamte Branche!
Im Juli 2025 wurde ein heimtückischer Supply-Chain-Angriff auf die VS Code-Erweiterung ETHcode entdeckt. ReversingLabs fand einen bösartigen Pull Request, der nur zwei Zeilen Schadcode enthielt. Diese zwei Zeilen lösten eine Kette von Ereignissen aus, die potenziell Tausende von Entwicklersystemen gefährden konnten. Ein perfider Angriff, der die Krypto-Welt aufschreckt.
ETHcode, eine beliebte Open-Source-Tool-Suite für Ethereum-Smart-Contract-Entwicklung, wird von über 6.000 Entwicklern genutzt. Besonders beliebt ist die Erweiterung bei Blockchain-Entwicklern, die auf Ethereum-basierte Anwendungen setzen. Ein gefundenes Fressen für Angreifer, die Schadcode einschleusen wollen.
Der Angriff erfolgte über einen harmlos wirkenden Pull Request von ‚Airez299‘. Das Konto war neu und diente offenbar nur diesem Zweck. Der PR tarnte sich als Modernisierung durch eine neue Testing-Integration. In Wahrheit wurden zwei bösartige Codezeilen in über 4.000 Codezeilen versteckt. Eine klassische Finte.
Die Täuschung lag in minimalen Änderungen und der Nutzung eines täuschend ähnlichen Paketnamens. Sicherheit beginnt im Detail.
Die erste Zeile führte eine neue Abhängigkeit namens ‚keythereum-utils‘ ein, die der legitimen Bibliothek ‚keythereum‘ ähnelte. Die zweite Zeile aktivierte die schädliche Bibliothek. Der Schadcode startete einen versteckten PowerShell-Prozess, der ein ‚Second-Stage‘-Batch-Skript herunterlud. Ein mehrstufiger Angriff, der schwer zu entdecken ist.
VS Code aktualisiert Extensions standardmäßig automatisch. Die kompromittierte Version von ETHcode konnte sich unbemerkt verbreiten. Ein Albtraum für die Sicherheit der Entwickler. Die Attacke nutzte die automatische Verteilung schamlos aus.
Microsoft entfernte die kompromittierte Version am 26. Juni 2025. Der ursprüngliche Entwickler veröffentlichte eine bereinigte Version 0.5.1. Eine schnelle Reaktion verhinderte Schlimmeres, aber das Problem der Supply-Chain-Angriffe bleibt bestehen.
Der Vorfall zeigt die Risiken von Supply-Chain-Angriffen. Angreifer nutzen die Vertrauensbasis und automatische Softwareupdates aus. ReversingLabs warnt vor ähnlichen Angriffen in anderen Ökosystemen wie npm-Paketen. Eine wachsende Bedrohung für die gesamte Softwareentwicklung.
Entwickler müssen Code-Reviews sorgfältig durchführen, neue Paketnamen misstrauen und Abhängigkeiten überwachen. Das Bewusstsein für Supply-Chain-Angriffe ist entscheidend. Nur so kann man sich effektiv vor solchen Attacken schützen.
