Istraživači su otkrili napad na lanac snabdijevanja koji je ciljao na proširenje Ethcode za VS Code, što je uticalo na više od 6.000 korisnika. Ovo proširenje, popularno među programerima za razvoj pametnih ugovora, služilo je kao vektora za širenje zlonamjernog softvera. Napad je uspješno zaobišao sigurnosne mehanizme, kompromitujući razvojna okruženja programera.
Upozorenje o ovom incidentu prvobitno je objavljeno na platformi X (ranije poznatoj kao Twitter) od strane sigurnosne firme SlowMist, koja je specijalizovana za blockchain sigurnost. Oni su detaljno opisali kako je ovaj napad uspješno izveden, naglašavajući da su napadači iskoristili ranjivost u samom proširenju.
Metodologija napada je na laički razumljiv način jednostavna: prevaranti su ubacili zlonamjerni kod u ažuriranje Ethcode proširenja. Kada bi programeri instalirali ili ažurirali ovo proširenje, zlonamjerni kod bi se automatski izvršio na njihovim računarima. Cilj prevaranata bio je da ukradu osjetljive informacije, kao što su privatni ključevi za kriptovalute ili pristupni podaci za kod repozitorijume. U ovom konkretnom slučaju, napadači su bili veoma vješti u prikrivanju svoje aktivnosti, čineći je teškom za otkrivanje.
Ovaj incident se može povezati sa širim trendom napada na lanac snabdijevanja u svijetu programiranja i blockchain tehnologije. Nedavno smo svjedočili sličnim pokušajima kompromitovanja popularnih alata i biblioteka koje programeri svakodnevno koriste. Prevaranti mame žrtve tako što zlonamjernu funkcionalnost maskiraju kao korisno ili neophodno ažuriranje, oslanjajući se na povjerenje koje programeri imaju u široko korištena proširenja.
Konkretan primjer ove prevare je upravo u tome kako je zlonamjerni kod bio skriven unutar paketa za ažuriranje proširenja. Kada bi korisnik otvorio proširenje ili pokrenuo VS Code, zlonamjerni kod bi se aktivirao u pozadini, prikupljajući podatke bez ikakvog direktnog podsjetnika ili upozorenja korisniku. Uvjerljivost prevare leži u činjenici da je proširenje izgledalo legitimno i da je ažuriranje dolazilo od pouzdanog izvora u ekosistemu programiranja pametnih ugovora. Ovo ističe kritičnu potrebu za oprezom i rigoroznom provjerom svih softverskih komponenti koje se koriste u procesu razvoja.
