Поддельное расширение для редактора кода Cursor AI IDE заражало устройства инструментами удаленного доступа и инфокрадами, что в одном случае привело к краже криптовалюты на сумму 500 000 долларов у российского разработчика криптовалют.
Cursor AI IDE — это среда разработки с искусственным интеллектом, основанная на Visual Studio Code от Microsoft. Она включает поддержку Open VSX, альтернативы Visual Studio Marketplace, что позволяет устанавливать совместимые с VSCode расширения для расширения функциональности программы.
«Лаборатория Касперского» , что её вызвали для расследования инцидента безопасности, в ходе которого российский разработчик, работающий в сфере криптовалют, сообщил о краже криптовалюты на сумму 500 000 долларов с его компьютера. На компьютере не было установлено антивирусное ПО, но, как сообщается, он был «чистым».
Георгий Кучерин, исследователь безопасности «Лаборатории Касперского», получил образ жесткого диска устройства и, проанализировав его, обнаружил вредоносный JavaScript-файл с именем extension.js, расположенный в каталоге .cursor/extensions.
Расширение получило название «Solidity Language» и было опубликовано в реестре Open VSX. Заявлено, что это инструмент подсветки синтаксиса для работы со смарт-контрактами Ethereum.
Хотя плагин выдавал себя за легитимное , на самом деле он выполнял скрипт PowerShell с удаленного хоста angelic[.]su для загрузки дополнительных вредоносных полезных данных.
Источник: Касперский
Удаленный скрипт PowerShell проверял, установлен ли уже инструмент удаленного управления ScreenConnect, и, если нет, запускал другой скрипт для его установки.
После установки ScreenConnect злоумышленники получили полный удалённый доступ к компьютеру разработчика. Используя ScreenConnect, злоумышленники загрузили и выполнили файлы VBScript, которые использовались для загрузки дополнительных полезных данных на устройство.
Последний скрипт атаки загружал вредоносный исполняемый файл с archive[.]org, содержащий загрузчик, известный как VMDetector, который устанавливал:
- Quasar RAT: троян удаленного доступа, способный выполнять команды на устройствах.
- Похититель PureLogs: вредоносное ПО для кражи информации, которое крадет учетные данные и файлы cookie аутентификации из веб-браузеров, а также похищает криптовалютные кошельки.
Днем позже злоумышленники опубликовали практически идентичную версию под названием «solidity», увеличив количество установок этого расширения почти до двух миллионов.
Источник: Касперский
По данным «Лаборатории Касперского», злоумышленники смогли поднять рейтинг своего расширения выше легитимного в результатах поиска Open VSX, обманув алгоритм и завысив количество установок. Это заставило жертву установить вредоносное расширение, приняв его за легитимное.
Исследователи обнаружили похожие расширения, опубликованные в магазине Microsoft Visual Studio Code под названиями «solaibot», «among-eth» и «blankebesxstnion», которые также запускали скрипт PowerShell для установки ScreenConnect и инфокрадов.
«Лаборатория Касперского» предупреждает, что разработчикам следует с осторожностью загружать пакеты и расширения из открытых репозиториев, поскольку они стали распространенным источником заражения вредоносным ПО.
«Вредоносные пакеты продолжают представлять серьёзную угрозу для криптоиндустрии. Многие проекты сегодня полагаются на инструменты с открытым исходным кодом, загружаемые из репозиториев пакетов», — заключает Касперский.
К сожалению, пакеты из этих репозиториев часто являются источником вредоносного ПО. Поэтому мы рекомендуем проявлять крайнюю осторожность при загрузке любых инструментов. Всегда проверяйте, не является ли загружаемый пакет поддельным.
«Если после установки пакет не работает так, как заявлено, отнеситесь к этому с подозрением и проверьте загруженный исходный код».
