Zhubné rozšírenie kódového editora pripravilo blockchainového vývojára o $500,000
Ruský blockchainový vývojár stratil $500,000 v kryptomenách po inštalácii zhubného rozšírenia pre kódový editor Cursor AI. Incident zdôrazňuje rastúce hrozby zamerané na odborníkov z oblasti decentralizovaných financií (DeFi). Útok využil Open VSX registry na distribúciu falošného zvýrazňovača syntaxe Solidity, ktorý tajne nasadil malware na vzdialený prístup, čím útočníkom umožnil úplné narušenie systému a krádež kryptomien.
Mechanizmus útoku
Podvodné rozšírenie, predstierajúce legálny nástroj pre Solidity, sa umiestnilo vyššie v výsledkoch vyhľadávania ako skutočná verzia a zaznamenalo 54,000 stiahnutí. Po inštalácii rozbehlo viacstupňový útok: Skrytý PowerShell skript stiahnutý z ‚angelic[.]su‘ nainštaloval software ScreenConnect, čo útočníkom poskytlo trvalú kontrolu nad systémom. Ďalšie VB skripty zbierali údaje z prehliadača, emailové prihlasovacie údaje a kryptomenové peňaženky pomocou krádežných nástrojov z ‚paste.ee‘. Nakoniec útočníci využili ukradnuté prihlasovacie údaje na vyprázdnenie vývojárových krypto peňaženiek, čím extrahovali $500,000 v aktívach.
Trendy v širších kampaniach
Bezpečnostní výskumníci identifikovali koordinované útoky, ktoré využívali podobné metódy: Malicious packages like „solaibot,“ „among-eth,“ and „blankebesxstnion“ targeting developers. Vulnerabilities in Open VSX allowed attackers to flood the platform with fraudulent tools. Re-publishing identical malware under usernames like „juanbIanco“, mimicking „juanblanco“.
Odporúčania expertov
Odborníci odporúčajú blockchainovým vývojárom: Overiť zdroje, sledovať povolenia a používať sandbox prostredia na testovanie nových nástrojov v izolovaných systémoch.
Tento incident podčiarkuje kritické slabiny infraštruktúry v open-source ekosystémoch, kde útočníci systematicky zneužívajú dôveru na zacielenie kryptomenových holdingov s vysokou hodnotou.
