一款伪装成合法插件的恶意扩展程序被植入 Cursor AI IDE(基于 VSCode 的 AI 编程环境),通过远程访问工具和信息窃取器感染开发者设备,导致一名俄罗斯加密货币开发者损失 50 万美元。这起事件暴露了开放插件生态在供应链安全上的严重风险。
假冒“Solidity Language”插件藏恶意代码,操控远程控制工具
Cursor IDE 支持 Open VSX,这是 Visual Studio Marketplace 的替代平台,允许用户安装兼容 VSCode 的插件扩展功能。卡巴斯基(Kaspersky)报告称,他们受邀调查一起安全事件——一名从事加密货币开发的俄罗斯开发者在使用 Cursor IDE 后,其电脑上存储的加密货币被盗,损失高达 50 万美元。
尽管该开发者声称电脑“干净”,且未安装任何杀毒软件,但卡巴斯基研究员 Georgy Kucherin 通过分析其硬盘镜像,在 .cursor/extensions 目录中发现了名为 extension.js 的恶意 JavaScript 文件。这个插件自称是“Solidity Language”,用于高亮显示以太坊智能合约语法,实则伪装成一个合法插件,来源于 Open VSX 注册表。
该恶意插件执行了来自远程服务器 angelic[.]su 的 PowerShell 脚本,用于下载和安装其他恶意组件。其中包括检查并安装远程管理工具 ScreenConnect。一旦安装,攻击者即可完全远程控制受害者的电脑。
多阶段感染链:从远程访问到信息窃取
借助 ScreenConnect,攻击者上传并执行了 VBScript 文件,进一步投递了多个恶意载荷。攻击最终阶段,恶意脚本从 archive[.]org 下载了一个可执行文件,其中包含名为 VMDetector 的加载器,它随后安装了以下恶意软件:
-
Quasar RAT:一款远程访问木马,可执行任意命令。
-
PureLogs stealer:信息窃取器,可提取浏览器中的登录凭据、认证 Cookie 以及加密货币钱包数据。
伪造下载量与排名,诱导用户误信插件合法
根据卡巴斯基的调查,这款插件在被 Open VSX 下架前已被下载 5.4 万次,但研究人员认为该下载量是人为刷量,以增强插件可信度。
更令人担忧的是,攻击者在插件下架第二天,又上传了一个几乎一模一样的版本,名为“solidity”,并将其伪造下载次数提升至近 200 万次。
通过操控算法和刷量,他们成功让该恶意插件在搜索结果中排在合法插件前面,误导开发者下载。
研究人员还发现,Visual Studio Code 官方插件市场中也出现了类似恶意扩展,例如 “solaibot”、“among-eth”、“blankebesxstnion”,其攻击手法与上述一致,同样通过 PowerShell 脚本投递 ScreenConnect 与窃密程序。
卡巴斯基警告:开放插件生态已成为攻击者乐园
卡巴斯基警告称,开源仓库和插件市场正日益成为恶意软件的传播温床。加密货币行业尤为脆弱,因为其开发项目大量依赖开源工具和库,而攻击者正是借助这一信任机制来进行投毒。
“恶意插件和包依旧是加密行业面临的重要威胁。许多项目依赖开源仓库中的工具,但这些仓库中往往隐藏着伪装精巧的恶意组件。下载任何工具前,请务必谨慎核查来源和代码。”
“如果你安装的插件与其宣传功能不符,应立即怀疑其合法性,并检查其源代码是否存在恶意行为。”
此次事件再次警示开发者和企业:在使用任何第三方扩展和工具时,必须采取安全审查流程,防止供应链成为攻击突破口。
发表评论
您还未登录,请先登录。
登录