$500K stolen via fake AI coding extension
10 months ago
- #blockchain
- #cybersecurity
- #malware
- 恶意开源软件包正成为日益增长的威胁,PyPI和npm等代码库中频繁出现被感染的软件包报告
- 一名区块链开发者在安装Cursor AI IDE的恶意Solidity语言扩展后,损失了价值50万美元的加密资产
- 该恶意扩展被下载5.4万次,实为虚假程序——未提供实际功能,而是下载并执行了恶意代码
- 由于Open VSX注册表的排名算法会考量发布时间等因素,这款虚假扩展在搜索结果中的排名反而高于正版扩展
- 恶意扩展下载的PowerShell脚本会安装ScreenConnect,使攻击者能远程控制受害者电脑
- 攻击者通过ScreenConnect上传VBScript脚本,进而下载更多恶意软件(包括Quasar后门程序和针对加密钱包的窃取程序)
- 在首个恶意扩展下架后,攻击者又发布了与正版同名的仿冒扩展,并将下载量刷至200万次
- 同类恶意软件包和扩展相继被发现,表明这是一场针对区块链开发者的有组织攻击
- 安全建议包括:下载前验证软件包真实性、警惕无实际功能的软件、使用网络安全解决方案拦截已知恶意程序