Фальшивое расширение VS Code украло $500 000. Разработчик даже не понял, что происходит
NewsMaker2 миллиона загрузок и ни одной подсветки: Open VSX в эпицентре атаки.
Российский блокчейн-разработчик стал жертвой целевой атаки через поддельное расширение в среде Cursor AI: злоумышленникам удалось похитить криптовалюту на сумму около $500 000. Инцидент исследовали специалисты Лаборатории Касперского, которые выявили целую цепочку заражения, построенную на вредоносных пакетах с открытым исходным кодом, имитирующих легитимные инструменты для работы с языком Solidity.
Атака началась с установки фальшивого расширения из репозитория Open VSX. Оно выдавалось за инструмент для подсветки синтаксиса кода на Solidity, но на деле запускало PowerShell-скрипт, загружавший на машину средство удалённого администрирования ScreenConnect. С его помощью на устройство загружались дополнительные компоненты: Quasar — бэкдор с открытым исходным кодом — и стилер, собирающий данные из браузеров, почтовых клиентов и криптокошельков. Все импланты взаимодействовали с C2-сервером relay.lmfao[.]su.
Примечательно, что операционная система разработчика была установлена всего за несколько дней до инцидента и содержала только базовое ПО. Несмотря на осведомлённость о рисках и использование бесплатных антивирусных сервисов, отсутствие полноценного защитного ПО сыграло критическую роль.
Вредоносное расширение попало в выдачу по запросу «solidity» в Open VSX и располагалось на четвёртом месте — выше легитимного, занимавшего восьмую позицию. Поддельный пакет был загружен 54 тысячи раз, тогда как оригинал — 61 тысячу. Однако благодаря алгоритму ранжирования, учитывающему новизну и активность, вредоносный плагин оказался выше. Жертва выбрала его, приняв за проверенный инструмент.
После удаления фальшивого расширения 2 июля 2025 года злоумышленники опубликовали новую подделку — на этот раз с идентичным названием и почти неотличимым ником разработчика: вместо латинской «l» в имени juanblanco использовали похожую «I». Новое расширение быстро набрало 2 миллиона загрузок, снова заняв высокие позиции в поиске. Оба пакета были впоследствии удалены.
По данным «Лаборатории Касперского», вредоносные пакеты от этой же группы появлялись и ранее: в частности, в апреле и мае были зафиксированы три аналогичных расширения для Visual Studio Code и пакет solsafe в NPM, использующие ту же схему заражения через PowerShell и обфусцированные VBS-скрипты.
Эксперты подчёркивают, что даже опытные пользователи и разработчики могут стать жертвами таких атак, особенно при работе с криптовалютой. Современные решения безопасности способны эффективно блокировать подобное вредоносное ПО, однако полагаться исключительно на бесплатные сканеры недостаточно.
Российский блокчейн-разработчик стал жертвой целевой атаки через поддельное расширение в среде Cursor AI: злоумышленникам удалось похитить криптовалюту на сумму около $500 000. Инцидент исследовали специалисты Лаборатории Касперского, которые выявили целую цепочку заражения, построенную на вредоносных пакетах с открытым исходным кодом, имитирующих легитимные инструменты для работы с языком Solidity.
Атака началась с установки фальшивого расширения из репозитория Open VSX. Оно выдавалось за инструмент для подсветки синтаксиса кода на Solidity, но на деле запускало PowerShell-скрипт, загружавший на машину средство удалённого администрирования ScreenConnect. С его помощью на устройство загружались дополнительные компоненты: Quasar — бэкдор с открытым исходным кодом — и стилер, собирающий данные из браузеров, почтовых клиентов и криптокошельков. Все импланты взаимодействовали с C2-сервером relay.lmfao[.]su.
Примечательно, что операционная система разработчика была установлена всего за несколько дней до инцидента и содержала только базовое ПО. Несмотря на осведомлённость о рисках и использование бесплатных антивирусных сервисов, отсутствие полноценного защитного ПО сыграло критическую роль.
Вредоносное расширение попало в выдачу по запросу «solidity» в Open VSX и располагалось на четвёртом месте — выше легитимного, занимавшего восьмую позицию. Поддельный пакет был загружен 54 тысячи раз, тогда как оригинал — 61 тысячу. Однако благодаря алгоритму ранжирования, учитывающему новизну и активность, вредоносный плагин оказался выше. Жертва выбрала его, приняв за проверенный инструмент.
После удаления фальшивого расширения 2 июля 2025 года злоумышленники опубликовали новую подделку — на этот раз с идентичным названием и почти неотличимым ником разработчика: вместо латинской «l» в имени juanblanco использовали похожую «I». Новое расширение быстро набрало 2 миллиона загрузок, снова заняв высокие позиции в поиске. Оба пакета были впоследствии удалены.
По данным «Лаборатории Касперского», вредоносные пакеты от этой же группы появлялись и ранее: в частности, в апреле и мае были зафиксированы три аналогичных расширения для Visual Studio Code и пакет solsafe в NPM, использующие ту же схему заражения через PowerShell и обфусцированные VBS-скрипты.
Эксперты подчёркивают, что даже опытные пользователи и разработчики могут стать жертвами таких атак, особенно при работе с криптовалютой. Современные решения безопасности способны эффективно блокировать подобное вредоносное ПО, однако полагаться исключительно на бесплатные сканеры недостаточно.