Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), Cursor kullanıcılarını hedef alan bir dizi kötü amaçlı açık kaynaklı uzantının, kullanıcıların kripto para varlıklarını çalmak için gizlice "Quasar" arka kapısını ve bilgi hırsızlığını yerleştirdiğini keşfetti. Cursor, yapay zeka destekli programlamaya odaklanan Visual Studio Code tabanlı bir geliştirme aracıdır.
Bu kötü amaçlı uzantılar, açık kaynaklı Open VSX kod deposuna yüklendi ve özellikle Solidity dilini desteklemek için eklentiler gibi gizlendi, ancak aslında kurulumdan sonra kötü amaçlı kodu gizlice indirip çalıştırıyorlardı.
Open VSX deposundaki kötü amaçlı uzantının açıklaması
Saldırının kurbanı olan Rus bir blockchain geliştiricisi, saldırganların yükledikleri sahte uzantılar aracılığıyla 500.000 dolar değerinde kripto para birimi çaldığının ortaya çıkması üzerine Kaspersky'den yardım istedi.
Saldırganlar, arama sıralamasındaki bir güvenlik açığından yararlanarak başarılı oldular; indirme sayısını (54.000'e ulaştı) sahtekarlıkla belirlediler ve böylece kötü amaçlı uzantıları, arama sonuçlarında gerçek uzantıdan önce sıralandı.
"solidity" için arama sonuçları (kırmızı kutu kötü amaçlı bir uzantıdır, yeşil kutu gerçek bir uzantıdır)
Kullanıcı eklentiyi yükledikten sonra herhangi bir işlev elde edemedi, ancak ScreenConnect uzaktan kumanda yazılımı sessizce yerleştirildi ve saldırganın bilgisayara uzaktan erişim sağlamasına olanak sağladı. Ardından saldırgan, tarayıcılardan, e-posta istemcilerinden ve kripto para cüzdanlarından veri çalma konusunda uzmanlaşmış açık kaynaklı "Quasar" arka kapı programını ve bilgi çalma yazılımını yerleştirdi ve ardından geliştiricinin cüzdan anımsatıcılarını ele geçirerek büyük miktarda kripto para transfer etti.
Saldırgan, keşfedilip depodan silindikten sonra tatmin olmayarak kötü amaçlı eklentiyi tekrar yükledi ve indirme sayısını daha da yüksek göstererek şaşırtıcı bir şekilde 2 milyona ulaştı; gerçek eklenti ise yalnızca 61.000 kez indirildi. Sonunda, Kaspersky'nin müdahalesiyle eklenti platformdan tamamen kaldırıldı.
Saldırgan tarafından tekrar yüklenen kötü amaçlı uzantı
Kaspersky güvenlik araştırmacısı Georgy Kucherin şunları söyledi:
"Kirli açık kaynaklı paketleri çıplak gözle tespit etmek giderek zorlaşıyor. Günümüzde saldırganlar, özellikle blockchain geliştiricileri olmak üzere deneyimli geliştiricileri bile hedef almak için çeşitli yöntemler kullanıyor. Geliştiricilere yönelik saldırıların artmaya devam edeceğini öngörüyoruz. Bu nedenle, BT alanındaki uzmanlar bile hassas verileri korumak ve maddi kayıpları önlemek için özel güvenlik araçları kullanmalıdır."
Bu saldırının arkasındaki hacker grubu, kötü amaçlı bir Solidity eklentisi yayınlamanın yanı sıra, NPM paketine solsafe adlı bir kötü amaçlı yazılım da yükledi. Ayrıca, birkaç ay önce Visual Studio Code için üç kötü amaçlı eklenti daha yayınlandı:
- solaibot
- arasında-eth
-blankebesxstnion

"solidity" için arama sonuçları (kırmızı kutu kötü amaçlı bir uzantıdır, yeşil kutu gerçek bir uzantıdır)
