Uma extensão falsa para o editor de códigos Cursor AI IDE infectou dispositivos com ferramentas de acesso remoto e infostealers, que, em um caso, levou ao roubo de $500.000 em criptomoeda de um desenvolvedor russo de cripto.
Cursor AI IDE é um ambiente de desenvolvimento impulsionado por IA baseado no Visual Studio Code da Microsoft.
Ele inclui suporte para Open VSX, uma alternativa ao Visual Studio Marketplace, que permite instalar extensões compatíveis com o VSCode para expandir a funcionalidade do software.
A Kaspersky relata que foi chamada para investigar um incidente de segurança onde um desenvolvedor russo que trabalha com criptomoeda relatou que $500.00 em cripto foram roubados de seu computador.
A máquina não tinha software antivírus instalado, mas dizia-se estar limpa.
Georgy Kucherin, um pesquisador de segurança da Kaspersky, recebeu uma imagem do disco rígido do dispositivo e, após analisá-lo, descobriu um arquivo JavaScript malicioso chamado extension.js localizado no diretório .cursor/extensions.
A extensão foi denominada "Solidity Language" e foi publicada no registro do Open VSX, alegando ser uma ferramenta de destaque de sintaxe para trabalhar com contratos inteligentes Ethereum.
Embora o plugin se passasse pela extensão legítima de destaque de sintaxe Solidity, na verdade ele executava um script PowerShell de um host remoto em angelic[.]su para baixar payloads maliciosos adicionais.
O script PowerShell remoto verificava se a ferramenta de gerenciamento remoto ScreenConnect já estava instalada e, caso não estivesse, executava outro script para instalá-la.
Uma vez instalado o ScreenConnect, os atores de ameaças ganharam acesso remoto total ao computador do desenvolvedor.
Usando o ScreenConnect, o ator da ameaça carregou e executou arquivos VBScript que foram usados para baixar payloads adicionais para o dispositivo.
O script final no ataque baixou um executável malicioso de archive[.]org que continha um loader conhecido como VMDetector, que instalou:
Quasar RAT: Um trojan de acesso remoto capaz de executar comandos em dispositivos.
PureLogs stealer: Um malware infostealer que rouba credenciais e cookies de autenticação de navegadores da web, além de roubar carteiras de criptomoeda.
De acordo com a Kaspersky, o Open VSX mostrou que a extensão foi baixada 54.000 vezes antes de ser removida em 2 de julho.
No entanto, os pesquisadores acreditam que essa contagem de instalação foi artificialmente inflada para dar-lhe um senso de legitimidade.
Um dia depois, os atacantes publicaram uma versão quase idêntica sob o nome "solidity", inflando a contagem de instalação desta extensão para quase dois milhões.
A Kaspersky diz que os atores da ameaça foram capazes de ranquear sua extensão mais alta do que a legítima nos resultados de pesquisa do Open VSX jogando com o algoritmo e através da contagem de instalação inflada.
Isso fez a vítima instalar a extensão maliciosa, pensando que era a legítima.
Os pesquisadores encontraram extensões semelhantes publicadas no marketplace do Visual Studio Code da Microsoft, denominadas "solaibot", "among-eth" e "blankebesxstnion", que também executaram um script PowerShell para instalar ScreenConnect e infostealers.
A Kaspersky alerta que os desenvolvedores devem ter cuidado ao baixar pacotes e extensões de repositórios abertos, pois eles se tornaram uma fonte comum de infecções por malware.
"Pacotes maliciosos continuam a representar uma ameaça significativa para a indústria cripto.
Muitos projetos hoje dependem de ferramentas de código aberto baixadas de repositórios de pacotes", conclui a Kaspersky.
"Infelizmente, pacotes desses repositórios são frequentemente uma fonte de infecções por malware.
Portanto, recomendamos extrema cautela ao baixar quaisquer ferramentas.
Sempre verifique se o pacote que você está baixando não é falso."
Se um pacote não funcionar conforme anunciado após a instalação, seja suspeito e verifique o código fonte baixado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...