Основний розробник Ethereum втратив всі кошти після того, як скачав фейкове розширення для редактора коду Cursor

Зловмисник на ім’я WhiteCobra націлився на розробників, які використовують редактори коду VS Code, Cursor і Windsurf. Для цього він розмістив щонайменше 24 шкідливих розширення на маркетплейсах VS Code та Open VSX. Особливістю атаки є те, що після видалення розширень з маркетплейсу хакер постійно завантажує новий шкідливий код для їхньої заміни, пише Bleeping Computer.

Дослідники Koi Security стверджують, що WhiteCobra здатен розгорнути нову кампанію менш ніж за три години.

У своєму дописі основний розробник Ethereum Зак Коул описав, як його криптовалютний гаманець був спустошений після використання, здавалося б, легітимного розширення (contractshark.solidity-lang ) для редактора коду Cursor. Це розширення мало всі ознаки безпечного продукту з професійно розробленою іконкою, детальним описом та 54 000 завантажень на OpenVSX, офіційному реєстрі Cursor. 

«Я працюю в криптовалюті понад 10 років і мене ніколи не зламували. Ідеальний послужний список з операційної безпеки. Вчора мій гаманець вперше був спустошений шкідливим розширенням Cursor. Якщо це могло статися зі мною, то може статися і з вами», — пише Коул.

Щоб захиститись від завантаження фейкового розширення, розробникам необхідно дотримуватись кращих механізмів перевірки, оскільки рейтинги, кількість завантажень та відгуки можуть бути маніпульовані, щоб вселити довіру потенційній жертві.

Загальні рекомендації щодо завантаження розширень коду: перевіряйте автора розширення (чи не видає він себе за іншу особу), намагайтеся використовувати лише відомі проекти з гарною репутацією. Зазвичай краще з підозрою ставитися до нових проектів, які зібрали велику кількість завантажень та позитивних відгуків за короткий проміжок часу.

Розширення WhiteCobra починають виводити кошти з виконання головного файлу (extension.js), який постачається з кожним шаблоном розширення VS Code. Інший варіант відкладає виконання на вторинний скрипт (prompt.js). Корисне навантаження наступного етапу завантажується з Claudflare Pages. Корисне навантаження залежить від платформи: є версії для Windows, macOS на ARM та macOS на Intel.

У Windows скрипт PowerShell виконує скрипт Python, який, у свою чергу, виконує шелл-код для запуску шкідливого програмного забезпечення LummaStealer.

LummaStealer — це шкідливе програмне забезпечення для крадіжки інформації, яке атакує додатки для криптовалютних гаманців, веб-розширення, облікові дані, що зберігаються у веббраузерах, та дані додатків для обміну повідомленнями.

У macOS корисним навантаженням є шкідливий бінарний файл Mach-O, який виконується локально для завантаження невідомого сімейства шкідливих програм.