Поддельное расширение для среды разработки Cursor AI, имитирующее легитимный инструмент для работы с Ethereum, привело к серьёзному инциденту — российский разработчик в сфере криптовалют лишился полумиллиона долларов из-за вредоносной активности. Вредоносное расширение, размещённое в открытом реестре Open VSX под названием «Solidity Language», имело одну цель — предоставить удалённый доступ к устройствам и похищать данные, в том числе криптокошельки.
Cursor AI IDE, разработанная на базе Visual Studio Code, поддерживает установку расширений через альтернативный маркетплейс Open VSX. Именно эта особенность стала уязвимостью — злоумышленники разместили в нём фальшивое расширение, которое по описанию и названию маскировалось под популярный инструмент подсветки синтаксиса для Solidity. На самом деле, внутри находился JavaScript-файл extension.js, запускавший удалённый PowerShell-скрипт с сервера angelic[.]su.
Далее PowerShell проверял наличие ScreenConnect — утилиты для удалённого управления — и при отсутствии инсталляции добавлял её в систему. Благодаря ScreenConnect злоумышленники получили полный контроль над устройством жертвы, через который они загрузили и запустили дополнительные вредоносные скрипты. Последним элементом в цепочке стал загрузчик VMDetector, скачанный с archive[.]org, который установил два вида вредоносного ПО: Quasar RAT и PureLogs.
Quasar RAT предоставляет возможность удалённого выполнения команд, а PureLogs специализируется на краже данных: от сохранённых паролей и сессионных куки до содержимого криптовалютных кошельков. Именно эти инструменты, по данным «Лаборатории Касперского», были использованы для компрометации системы пострадавшего.
Вредоносное расширение до удаления 2 июля было загружено около 54 тысяч раз. Однако специалисты считают, что эти цифры были искусственно завышены, чтобы создать иллюзию популярности и доверия. Уже на следующий день появилась почти идентичная версия под названием «solidity», количество загрузок которой стремительно достигло почти двух миллионов. Это помогло фальшивке опередить оригинальное расширение в поисковой выдаче Open VSX, подставив под угрозу десятки тысяч пользователей.
Подобная активность была замечена и в официальном маркетплейсе Visual Studio Code, где обнаружились схожие по поведению расширения с названиями «solaibot», «among-eth» и «blankebesxstnion». Все они использовали ту же схему: установку ScreenConnect, запуск вредоносных скриптов и внедрение инфостилеров.
По словам специалистов, злоумышленники умело эксплуатируют доверие к открытому программному обеспечению и алгоритмам сортировки на платформах распространения. Разработчики часто полагаются на публичные репозитории, не подозревая, что они могут быть рассадником угроз. «Лаборатория Касперского» подчёркивает важность проверки кода перед установкой, особенно в случаях, когда расширение не работает должным образом. Прозрачность и доступность исходников — сильные стороны open-source, но они же становятся слабым звеном, если пользователи теряют бдительность.