یک افزونه مخرب در VSCode در Cursor IDE منجر به سرقت ۵۰۰ هزار دلار ارز دیجیتال شد.

یک افزونه جعلی برای ویرایشگر کد Cursor AI IDE دستگاه‌ها را با ابزارهای دسترسی از راه دور و اطلاعات‌دزدها آلوده کرد که در یک مورد منجر به سرقت ۵۰۰ هزار دلار ارز دیجیتال از یک توسعه‌دهنده روسی ارز دیجیتال شد.

Cursor AI IDE یک محیط توسعه مبتنی بر Visual Studio Code مایکروسافت است که از Open VSX پشتیبانی می‌کند، که یک جایگزین برای Visual Studio Marketplace است و به شما این امکان را می‌دهد که افزونه‌های سازگار با VSCode را برای گسترش قابلیت‌های نرم‌افزار نصب کنید.

Kaspersky گزارش می‌دهد که آنها برای تحقیق درباره یک حادثه امنیتی فراخوانده شدند، جایی که یک توسعه‌دهنده روسی فعال در زمینه ارز دیجیتال گزارش داده بود که ۵۰۰ هزار دلار ارز دیجیتال از رایانه‌اش به سرقت رفته است. دستگاه فاقد نرم‌افزار آنتی‌ویروس بود، اما گفته شده که آن دستگاه تمیز بوده است.

Georgy Kucherin، پژوهشگر امنیتی Kaspersky، تصویری از هارد دیسک دستگاه دریافت کرد و پس از تجزیه و تحلیل آن، یک فایل مخرب JavaScript به نام extension.js را در دایرکتوری .cursor/extensions کشف کرد.

این افزونه به نام “Solidity Language” در رجیستری Open VSX منتشر شده بود و ادعا می‌کرد که ابزاری برای برجسته‌سازی نحو (syntax highlighting) برای کار با Ethereum smart contracts است.

اگرچه این پلاگین خود را به جای افزونه قانونی برجسته‌سازی نحو Solidity معرفی کرده بود، اما در حقیقت یک اسکریپت PowerShell از یک هاست راه دور به نام angelic[.]su اجرا می‌کرد تا بارگذاری‌های مخرب اضافی را دانلود کند.

اسکریپت PowerShell راه دور بررسی می‌کرد که آیا ابزار مدیریت از راه دور ScreenConnect قبلاً نصب شده است یا خیر. در صورتی که نصب نشده بود، اسکریپت دیگری اجرا می‌کرد تا آن را نصب کند.

پس از نصب ScreenConnect، مهاجمان دسترسی کامل از راه دور به رایانه توسعه‌دهنده پیدا کردند. با استفاده از ScreenConnect، مهاجمین فایل‌های VBScript را بارگذاری و اجرا کردند که برای دانلود بارگذاری‌های مخرب اضافی به دستگاه استفاده می‌شد.

اسکریپت نهایی در حمله، یک فایل اجرایی مخرب از archive[.]org دانلود کرد که حاوی یک بارگذار به نام VMDetector بود، که نصب کرد:

• Quasar RAT: یک remote access trojan (بدافزار دسترسی از راه دور) که قادر به اجرای دستورات بر روی دستگاه‌ها است.
• PureLogs stealer: یک بدافزار infostealing که اطلاعات شناسایی و کوکی‌های احراز هویت مرورگرها را سرقت می‌کند و همچنین کیف پول‌های ارز دیجیتال را سرقت می‌کند.

طبق گزارش Kaspersky، Open VSX نشان می‌دهد که این افزونه ۵۴,۰۰۰ بار دانلود شده بود قبل از اینکه در تاریخ ۲ ژوئیه حذف شود. با این حال، پژوهشگران معتقدند که این شمارش نصب به‌طور مصنوعی افزایش یافته بود تا حس مشروعیت به افزونه بدهد.

یک روز بعد، مهاجمان نسخه‌ای تقریباً مشابه تحت نام “solidity” منتشر کردند که شمارش نصب این افزونه را به نزدیک به دو میلیون رساند.

Kaspersky می‌گوید مهاجمان توانستند افزونه خود را با استفاده از دستکاری الگوریتم جستجو و افزایش مصنوعی شمارش نصب، در نتایج جستجوی Open VSX بالاتر از افزونه قانونی قرار دهند. این موضوع باعث شد که قربانی افزونه مخرب را نصب کند و آن را به اشتباه به‌عنوان افزونه قانونی شناسایی کند.

پژوهشگران افزونه‌های مشابهی را پیدا کردند که به Microsoft’s Visual Studio Code Marketplace منتشر شده بودند، مانند “solaibot”, “among-eth” و “blankebesxstnion” که همچنین یک اسکریپت PowerShell اجرا می‌کردند تا ScreenConnect و infostealers را نصب کنند.

Kaspersky هشدار می‌دهد که توسعه‌دهندگان باید از دانلود بسته‌ها و افزونه‌ها از مخازن عمومی احتیاط کنند، زیرا این منابع به یک منبع رایج برای عفونت‌های بدافزاری تبدیل شده‌اند.

“بسته‌های مخرب همچنان تهدید بزرگی برای صنعت ارز دیجیتال به شمار می‌روند. بسیاری از پروژه‌ها امروزه به ابزارهای متن‌باز وابسته هستند که از مخازن بسته دانلود می‌شوند.” – Kaspersky

“متاسفانه بسته‌های موجود در این مخازن اغلب منبع عفونت‌های بدافزاری هستند. بنابراین، ما پیشنهاد می‌کنیم که در هنگام دانلود هر ابزار، نهایت احتیاط را به خرج دهید. همیشه تأیید کنید که بسته‌ای که دانلود می‌کنید جعلی نباشد.”

“اگر پس از نصب یک بسته، به همان صورتی که تبلیغ شده عمل نکرد، مشکوک شوید و کد منبع دانلود شده را بررسی کنید.”