卡巴斯基發(fā)現(xiàn)針對Cursor用戶的惡意軟件包導(dǎo)致50萬美元加密貨幣被盜

卡巴斯基全球研究與分析團(tuán)隊 (GReAT) 的專家們發(fā)現(xiàn)了一些開源軟件包，這些軟件包會下載 Quasar 后門程序和一個旨在竊取加密貨幣的竊密程序。這些惡意軟件包適用于Cursor開發(fā)環(huán)境，而Cursor則是一款基于Visual Studio Code的人工智能輔助編程工具。

這些惡意的開源軟件包是以擴(kuò)展程序形式托管在 Open VSX 倉庫中的，聲稱提供對 Solidity 編程語言的支持。但實際上，它們會在用戶設(shè)備上下載并執(zhí)行惡意代碼。

在一次事件響應(yīng)中，一位來自俄羅斯的區(qū)塊鏈開發(fā)者在安裝了其中一個偽造的擴(kuò)展程序后向卡巴斯基求助，經(jīng)調(diào)查，這些惡意擴(kuò)展讓攻擊者成功竊取了價值約500,000美元的加密資產(chǎn)。

這些惡意軟件包背后的威脅行為者通過人為操縱，使惡意軟件包的排名高于合法軟件包，從而欺騙開發(fā)者。攻擊者通過刷量手段將惡意軟件包的下載次數(shù)虛增至54,000次，實現(xiàn)其排名靠前的目的。

受害者安裝該擴(kuò)展后，并未獲得任何實際功能。相反，其計算機(jī)被暗中安裝了ScreenConnect遠(yuǎn)程控制軟件，使得攻擊者能夠完全操控受感染設(shè)備。利用此訪問權(quán)限，他們部署了開源Quasar后門程序以及一個收集來自瀏覽器、電子郵件客戶端和加密貨幣錢包數(shù)據(jù)的竊密程序。利用這些工具，威脅行為者能夠獲取開發(fā)者的錢包助記詞，隨后竊取賬戶中的加密貨幣。

開發(fā)者下載的這些惡意擴(kuò)展被發(fā)現(xiàn)并從倉庫中清除之后，威脅行為者重新對其進(jìn)行了發(fā)布，并將其安裝次數(shù)人為地刷到更高的數(shù)字——200萬次，而合法軟件包的安裝次數(shù)僅為61,000。在卡巴斯基的要求下，該擴(kuò)展程序已從平臺上刪除。

“僅憑肉眼發(fā)現(xiàn)受感染的開源軟件包正變得越來越困難。威脅行為者正采用越來越巧妙的手段來欺騙潛在受害者，甚至包括那些對網(wǎng)絡(luò)安全風(fēng)險有深刻理解的開發(fā)人員——尤其是從事區(qū)塊鏈開發(fā)領(lǐng)域的工作者。我們預(yù)計攻擊者將繼續(xù)以開發(fā)人員為目標(biāo)，建議即使是經(jīng)驗豐富的IT專業(yè)人員也應(yīng)部署專門的安全解決方案，以保護(hù)敏感數(shù)據(jù)并防止經(jīng)濟(jì)損失，”卡巴斯基全球研究于分析團(tuán)隊安全研究員Georgy Kucherin評論說。

此次攻擊的幕后黑手不僅發(fā)布了惡意的 Solidity 擴(kuò)展，還發(fā)布了一個名為 solsafe的NPM 包，它也會下載ScreenConnect。更早之前，攻擊者還發(fā)布了另外三個惡意 Visual Studio Code 擴(kuò)展——分別為solaibot、among-eth 和 blankebesxstnion——目前這些惡意擴(kuò)展均已從倉庫下架。

更多詳情，請參閱Securelist.com上的相關(guān)報告。

為了確保安全，卡巴斯基建議：

·      使用一款解決方案來監(jiān)控使用的開源組件，以便檢測可能隱藏其中的威脅。

·      如果懷疑企業(yè)基礎(chǔ)設(shè)施已遭攻擊者入侵，我們建議使用卡巴斯基入侵評估服務(wù)來識別過去發(fā)生的以及正在進(jìn)行的攻擊。

·      驗證軟件包維護(hù)者：檢查軟件包背后的維護(hù)者或組織的可信度。查看版本歷史是否持續(xù)更新、文檔是否完善以及是否有活躍的問題追蹤系統(tǒng)。

·      關(guān)注新興威脅：訂閱與開源生態(tài)系統(tǒng)相關(guān)的安全公告和咨詢。您越早了解威脅，就能越快地做出響應(yīng)。

關(guān)于卡巴斯基

卡巴斯基是一家成立于1997年的全球網(wǎng)絡(luò)安全和數(shù)字隱私公司。迄今為止，卡巴斯基已保護(hù)超過十億臺設(shè)備免受新興網(wǎng)絡(luò)威脅和針對性攻擊�？ò退够�不斷將深度威脅情報和安全技術(shù)轉(zhuǎn)化成創(chuàng)新的安全解決方案和服務(wù)，為全球的企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施、政府和消費者提供安全保護(hù)。公司提供全面的安全產(chǎn)品組合，包括領(lǐng)先的端點保護(hù)解決方案以及多種針對性的安全解決方案和服務(wù)，以及用于應(yīng)對復(fù)雜和不斷變化的數(shù)字威脅的網(wǎng)絡(luò)免疫解決方案。我們還幫助全球200,000家企業(yè)客戶保護(hù)最重要的東西。要了解更多詳情，請訪問www.kaspersky.com.