Недавние расследования выявили серьезную угрозу для пользователей macOS, использующих редактор кода Cursor AI. Вредоносные пакеты npm под названиями swcur, swcur1 и aiide-cur были созданы с целью кражи учетных данных и обеспечения постоянного доступа к системам жертв. Эти пакеты маскируются под инструменты разработчика, предлагая доступ к API Cursor.
Обнаружение и функциональность вредоносных пакетов
Хакер, стоящий за этими пакетами, действует под псевдонимами gtr2018 и aiide, используя адреса электронной почты, связанные с регистрациями. С момента их выпуска эти пакеты были скачаны более 3200 раз и на момент обнаружения оставались активными в реестре npm.
После установки вредоносные пакеты выполняют следующие действия:
- Сбор учетных данных пользователя;
- Загрузка зашифрованной полезной информации с сервера, контролируемого злоумышленниками;
- Изменение файла приложения main.js;
- Отключение функций автоматического обновления.
Атака на macOS и логика бэкдора
Пакет swcur содержит механизм, который прерывает существующие процессы управления курсором. Это гарантирует, что при следующем запуске приложения будет загружен скомпрометированный код. Метод атаки нацелен на установки macOS и внедряет логику бэкдора непосредственно в доверенную среду выполнения Cursor IDE, что позволяет злоумышленнику использовать доверие к IDE для получения постоянного контроля.
Кроме того, каждый пакет подключается к разным доменам хоста для фильтрации данных и доставки вредоносной полезной нагрузки. Например:
- swcur и swcur1 отправляют украденные учетные данные на сайт, имитирующий безопасную страницу входа;
- aiide-cur направляет данные в другое место, что демонстрирует разнообразный подход к сбору учетных данных.
Широкие последствия для цепочек поставок
Наличие этих вредоносных пакетов подчеркивает более широкую угрозу для цепей поставок. Злоумышленники используют доверие, заложенное в экосистемах разработчиков, чтобы внедрять скомпрометированные программные компоненты. Нацеливаясь на ключевые инструменты разработки, они создают потенциальные точки входа не только для кражи учетных данных, но и для взлома цепочек поставок программного обеспечения через будущие внедрения кода или вредоносных зависимостей.
Это представляет собой значительную опасность как для отдельных разработчиков, так и для организаций, особенно в средах с закрытыми базами кода или конфиденциальными рабочими процессами. Возможности этих пакетов соответствуют устоявшимся методам атаки, включая:
- Компрометацию цепочки поставок;
- Выполнение команд;
- Утечку данных.
Этот инцидент иллюстрирует эволюцию тактики, используемой хакерами, и необходимость усиления мер по кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Обнаружены вредоносные npm-пакеты для macOS: угроза разработчикам".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.