Исследователи обнаружили три вредоносных пакета в реестре npm (sw-cur, sw-cur1, aiide-cur), которые маскировались под инструменты для работы с Cursor API. Целью злоумышленников стала macOS-версия популярного среди разработчиков редактора кода Cursor AI. Заражённые пакеты скачали более 3200 раз. Они работали, как бэкдоры: похищали учётные данные, загружали вредоносные программы и изменяли код редактора. Кроме того, пакеты отключали автоматические обновления.
Инцидент с Cursor AI — тревожный сигнал для разработчиков и компаний. Ирина Дмитриева, киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис», отметила, что эта атака демонстрирует опасную тенденцию — компрометацию доверенного локального ПО для проникновения в цепочку поставок. «При установке пакеты выполняют сбор данных, дешифровку внешних нагрузок, замену критического кода Cursor и перезапуск приложения для активации бэкдора, обеспечивая постоянный удалённый доступ. Отключение автоматических обновлений Cursor позволяет ВПО оставаться активным длительное время, усложняя обнаружение и устранение», — поясняет Дмитриева.
Атака направлена на доверие разработчиков к своим инструментам: вредоносный код внедряется непосредственно в интегрированную среду разработки (IDE), что создаёт угрозу для всей цепочки поставок ПО. В организациях заражённая IDE может стать источником утечки конфиденциального кода, внедрения вредоносных зависимостей в CI/CD-конвейеры и горизонтального перемещения внутри сетей.
Киберэксперт подчёркивает необходимость усиления контроля за сторонними зависимостями и перехода от статического анализа к динамическому мониторингу поведения кода. «IDE становятся новым фронтом кибератак», — предупреждает она.
Киберэксперт поясняет: «Рост атак на цепочку поставок через компрометацию доверенного локального ПО требует усиления контроля за сторонними зависимостями. Это демонстрирует необходимость перехода от статических методов анализа к динамическому мониторингу поведения кода, особенно в контексте IDE, которые становятся новым фронтом кибератак. Специалисты SOC могут усилить защиту сетевого периметра при проведении анализа трафика из IDE и сред разработки для выявления аномальных подключений к подозрительным доменам или C2-серверам. В то же время автоматизация блокировки исходящих соединений при обнаружении сигнатур активности, характерной для атак на цепочку поставок (например, передача зашифрованных payload’ов), минимизирует риски утечки данных и компрометации инфраструктуры».
Оригинал публикации на сайте CISOCLUB: "Киберэксперт Дмитриева: IDE становятся новым фронтом кибератак".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.