Zhubné rozšírenie kódového editora pripravilo blockchainového vývojára o $500,000

Zhubné rozšírenie kódového editora pripravilo blockchainového vývojára o $500,000

Ruský blockchainový vývojár stratil $500,000 v kryptomenách po inštalácii zhubného rozšírenia pre kódový editor Cursor AI. Incident zdôrazňuje rastúce hrozby zamerané na odborníkov z oblasti decentralizovaných financií (DeFi). Útok využil Open VSX registry na distribúciu falošného zvýrazňovača syntaxe Solidity, ktorý tajne nasadil malware na vzdialený prístup, čím útočníkom umožnil úplné narušenie systému a krádež kryptomien.

Mechanizmus útoku

Podvodné rozšírenie, predstierajúce legálny nástroj pre Solidity, sa umiestnilo vyššie v výsledkoch vyhľadávania ako skutočná verzia a zaznamenalo 54,000 stiahnutí. Po inštalácii rozbehlo viacstupňový útok: Skrytý PowerShell skript stiahnutý z ‚angelic[.]su‘ nainštaloval software ScreenConnect, čo útočníkom poskytlo trvalú kontrolu nad systémom. Ďalšie VB skripty zbierali údaje z prehliadača, emailové prihlasovacie údaje a kryptomenové peňaženky pomocou krádežných nástrojov z ‚paste.ee‘. Nakoniec útočníci využili ukradnuté prihlasovacie údaje na vyprázdnenie vývojárových krypto peňaženiek, čím extrahovali $500,000 v aktívach.

Trendy v širších kampaniach

Bezpečnostní výskumníci identifikovali koordinované útoky, ktoré využívali podobné metódy: Malicious packages like „solaibot,“ „among-eth,“ and „blankebesxstnion“ targeting developers. Vulnerabilities in Open VSX allowed attackers to flood the platform with fraudulent tools. Re-publishing identical malware under usernames like „juanbIanco“, mimicking „juanblanco“.

Odporúčania expertov

Odborníci odporúčajú blockchainovým vývojárom: Overiť zdroje, sledovať povolenia a používať sandbox prostredia na testovanie nových nástrojov v izolovaných systémoch.

Tento incident podčiarkuje kritické slabiny infraštruktúry v open-source ekosystémoch, kde útočníci systematicky zneužívajú dôveru na zacielenie kryptomenových holdingov s vysokou hodnotou.

Tento incident je mrazivým pripomenutím, že ani vývojár s čistým systémom a bezpečnostným povedomím nie je imúnny voči sofistikovaným útokom. Falošné rozšírenie pre Cursor AI, ktoré sa tvárilo ako nástroj na zvýrazňovanie Solidity kódu, sa stalo vstupnou bránou pre krádež pol milióna dolárov v kryptomenách.

• Ako by sa mali zmeniť pravidlá pre publikovanie rozšírení v Open VSX?
• Používate sandbox prostredia pri testovaní nových nástrojov? Ak nie, čo vám v tom bráni?
• Aké bezpečnostné nástroje vám pomáhajú odhaliť podozrivé rozšírenia?

Podeľte sa o svoje skúsenosti, tipy a návrhy – každý komentár môže pomôcť zabrániť ďalšiemu útoku.