Une extension malveillante dans l'IDE Cursor vole 500 000 $ en cryptomonnaies

14/07/2025 12:26

Technology Security Digital Currency Cryptocurrency Kaspersky Lab
Malicious VSCode extension in Cursor IDE led to $500K crypto theft

Une extension malveillante dans l'IDE Cursor vole 500 000 $ en cryptomonnaies

Une fausse extension pour l'éditeur de code Cursor AI IDE a infecté des appareils avec des outils d'accès à distance et des voleurs de données, entraînant le vol de 500 000 $ en cryptomonnaies chez un développeur russe. Cursor AI IDE est un environnement de développement basé sur Visual Studio Code de Microsoft, prenant en charge Open VSX, une alternative au Visual Studio Marketplace, permettant d'installer des extensions compatibles avec VSCode.

Kaspersky a été contacté pour enquêter sur un incident de sécurité impliquant un développeur russe en cryptomonnaie. Son ordinateur, dépourvu d'antivirus mais considéré comme propre, a été compromis par un fichier JavaScript malveillant nommé 'extension.js' dans le répertoire .cursor/extensions. L'extension frauduleuse, intitulée 'Solidity Language', se faisait passer pour un outil de coloration syntaxique pour les contrats intelligents Ethereum.

En réalité, l'exécution d'un script PowerShell depuis angelic[.]su a permis de télécharger des charges malveillantes supplémentaires. Le script vérifiait la présence de l'outil de gestion à distance ScreenConnect et l'installait si nécessaire, offrant un accès complet à l'ordinateur. Les attaquants ont ensuite téléchargé et exécuté des fichiers VBScript pour déployer d'autres charges utiles, dont un exécutable malveillant contenant VMDetector.

VMDetector a installé Quasar RAT, un cheval de Troie d'accès distant, et PureLogs stealer, un malware volant identifiants, cookies et portefeuilles de cryptomonnaies. L'extension malveillante a été téléchargée 54 000 fois avant sa suppression le 2 juillet, mais Kaspersky soupçonne une inflation artificielle de ce nombre. Une version presque identique, nommée 'solidity', a ensuite été publiée avec près de deux millions de téléchargements.

Les attaquants ont manipulé l'algorithme de recherche d'Open VSX pour classer leur extension au-dessus de la version légitime. Des extensions similaires ont été trouvées sur le Visual Studio Code Marketplace sous les noms 'solaibot', 'among-eth' et 'blankebesxstnion'. Kaspersky met en garde contre les téléchargements depuis des dépôts ouverts, sources courantes d'infections malveillantes.

'Les paquets malveillants constituent une menace majeure pour l'industrie crypto', conclut Kaspersky. 'Nous recommandons une extrême prudence lors du téléchargement d'outils et de vérifier systématiquement leur authenticité.'

Tiện ích độc hại trên Cursor IDE đánh cắp 500.000 USD tiền mã hóa

Một tiện ích giả mạo trên trình soạn thảo Cursor AI IDE đã cài đặt công cụ điều khiển từ xa và phần mềm đánh cắp thông tin, dẫn đến vụ trộm 500.000 USD tiền mã hóa từ một nhà phát triển người Nga. Cursor AI IDE là môi trường lập trình tích hợp trí tuệ nhân tạo, dựa trên nền tảng Visual Studio Code của Microsoft, hỗ trợ Open VSX - kho lưu trữ tiện ích mở rộng tương thích VSCode.

Kaspersky được yêu cầu điều tra sự cố bảo mật khi một nhà phát triển tiền mã hóa người Nga báo cáo mất 500.000 USD. Máy tính nạn nhân không cài phần mềm diệt virus nhưng được cho là 'sạch sẽ'. Chuyên gia Georgy Kucherin phát hiện file JavaScript độc hại 'extension.js' trong thư mục .cursor/extensions sau khi phân tích ảnh đĩa cứng.

Tiện ích mang tên 'Solidity Language' trên Open VSX giả danh công cụ tô màu cú pháp cho hợp đồng thông minh Ethereum. Thực chất, nó chạy script PowerShell từ máy chủ angelic[.]su để tải payload độc hại. Script này kiểm tra công cụ quản lý từ xa ScreenConnect, nếu chưa có sẽ tự động cài đặt để hacker chiếm quyền điều khiển.

Thông qua ScreenConnect, kẻ tấn công tải lên và thực thi file VBScript nhằm tải thêm mã độc. Bước cuối cùng là tải file thực thi từ archive[.]org chứa VMDetector - bộ nạp cài đặt đồng thời Quasar RAT (phần mềm điều khiển từ xa) và PureLogs stealer (trộm thông tin đăng nhập, cookie trình duyệt cùng ví tiền mã hóa).

Theo Kaspersky, tiện ích độc hại đã được tải 54.000 lần trước khi bị gỡ vào ngày 2/7. Con số này có khả năng bị thổi phồng để tăng độ tin cậy. Một phiên bản tương tự tên 'solidity' sau đó xuất hiện với gần 2 triệu lượt cài đặt. Nhóm tấn công thao túng thuật toán xếp hạng Open VSX để đẩy tiện ích giả lên vị trí cao hơn bản gốc.

Kaspersky cũng phát hiện các tiện ích tương tự trên Visual Studio Code Marketplace với tên 'solaibot', 'among-eth' và 'blankebesxstnion'. Hãng bảo mật cảnh báo cộng đồng lập trình viên nên thận trọng khi tải gói mở rộng từ kho lưu trữ mở. 'Các gói độc hại vẫn là mối đe dọa lớn với ngành công nghiệp tiền mã hóa', Kaspersky nhấn mạnh. 'Luôn kiểm tra kỹ tính xác thực trước khi cài đặt bất kỳ công cụ nào.'

Retour Source originale

Articles connexes

Trump poised to sign landmark crypto bill as House Republicans navigate legislative hurdles
Trump sur le point de signer une loi historiq...

16/07/2025

Lire plus
Trump's boast backfires as key bill stalls in Congress
La vantardise de Trump se retourne contre lui...

16/07/2025

Lire plus
Tariffs will accelerate a debt spiral ‘By design,’ says Lyn Alden
Les droits de douane vont accélérer une spira...

16/07/2025

Lire plus
ARK Invest Sells $8.7 Million Worth of Bitcoin ETF Shares Taking Profits
ARK Invest réalise un bénéfice en vendant pou...

16/07/2025

Lire plus
'Crypto week' takes a turn for the worse for banks
La 'semaine crypto' tourne au vinaigre pour l...

16/07/2025

Lire plus
OpenAI Is Eating Microsoft's Lunch
OpenAI Dévore le Déjeuner de Microsoft : L'Éc...

16/07/2025

Lire plus