Шкідливе розширення VS Code в редакторі коду Cursor викрало у російського розробника криптовалюту на $500 000

Фейкове розширення для редактора коду Cursor AI IDE, яке заразило десятки тисяч комп’ютерів інструментами віддаленого доступу та інфостілерами, в одному випадку призвело до крадіжки криптовалюти на суму $500 000 у російського розробника. Про це повідомляє Bleeping Computer.

Cursor AI IDE — це інструмент розробки на базі штучного інтелекту, який базується на Visual Studio Code від Microsoft. Він підтримує встановлення плагінів, сумісних з VS Code, з платформи Open VSX, альтернативи Visual Studio Marketplace.

Як інформує Kaspersky Lab, на образі жорсткого диска постраждалого ПК після аналізу виявили шкідливий файл JavaScript з назвою extension.js, розташований у каталозі .cursor/extensions.

Плагін, який вкрав криптовалюту, мав назву «Solidity Language». Його було опубліковано в реєстрі Open VSX як інструмент підсвічування синтаксису для роботи зі смарт-контрактами Ethereum. Насправді після встановлення плагін запускав скрипт PowerShell з віддаленого хоста за адресою angelic[.]su для завантаження додаткових шкідливих корисних навантажень.

Віддалений скрипт PowerShell перевіряв, чи вже встановлено інструмент віддаленого керування ScreenConnect, і якщо ні, виконував інший скрипт для його встановлення.

Після встановлення ScreenConnect зловмисники отримали повний віддалений доступ до комп’ютера розробника. За допомогою ScreenConnect хакер завантажував та виконував файли VBScript, які використовувалися для завантаження додаткових корисних даних на пристрій.

Останній скрипт атаки завантажив шкідливий виконуваний файл з archive[.]org, який містив завантажувач під назвою VMDetector, що встановлював:

• Quasar RAT: Троян віддаленого доступу, здатний виконувати команди на пристроях.
• Викрадач PureLogs: шкідливе програмне забезпечення для крадіжки інформації, яке краде облікові дані та файли cookie автентифікації з браузерів, а також краде криптовалютні гаманці.

За даними Open VSX, розширення було завантажено 54 000 разів, перш ніж його було видалено 2 липня. Однак дослідники вважають, що ця кількість встановлень була штучно завищена, щоб підвищити легітимність в очах потенційних жертв.

Через день зловмисники опублікували майже ідентичну версію під назвою «solidity», завищивши кількість встановлень цього розширення майже до двох мільйонів.

Дослідники виявили аналогічні розширення, опубліковані на Microsoft Visual Studio Code, під назвами “solaibot”, “among-eth” та “blankebesxstnion”, які також виконували скрипт PowerShell для встановлення ScreenConnect та інфостілерів.