Ein russischer Blockchain-Entwickler verlor etwa 500.000 Dollar in Kryptowährungen durch eine raffinierte Cyberattacke, die über eine manipulierte IDE-Erweiterung aus dem Open VSX Store erfolgte. Dieser Vorfall markiert einen besorgniserregenden Trend in der Cybersicherheit, bei dem Angreifer gefälschte Entwicklungstools als Einfallstor für komplexe Attacken nutzen.
Manipulation des Open VSX Ranking-Algorithmus
Die Analyse von Kaspersky-Experten offenbarte eine besonders perfide Angriffsstrategie. Das Opfer hatte sein Betriebssystem erst wenige Tage vor dem Incident neu installiert und befolgte strenge Sicherheitspraktiken bei der Softwareauswahl. Dennoch fiel der erfahrene Entwickler einer gefälschten Solidity Language-Erweiterung zum Opfer, die für die Cursor AI-Entwicklungsumgebung konzipiert war.
Die Cyberkriminellen nutzten geschickt die Schwächen des Open VSX-Ranking-Systems aus. Durch künstliche Manipulation von Bewertungen, Download-Zahlen und anderen Ranking-Faktoren positionierten sie ihre schädliche Erweiterung auf Platz 4 der Suchergebnisse für „Solidity“, während das legitime Plugin nur den 8. Platz erreichte. Zum Zeitpunkt der Entdeckung verzeichnete die gefälschte Erweiterung bereits 54.000 Downloads.
Täuschung durch identische Beschreibungen
Die Angreifer kopierten die komplette Beschreibung der originalen Erweiterung, um Authentizität vorzutäuschen. Anstatt der beworbenen Solidity-Syntaxhervorhebung lud das gefälschte Plugin jedoch einen schädlichen PowerShell-Script vom Server angelic[.]su herunter. Die fehlende Funktionalität deutete das Opfer zunächst als gewöhnlichen Programmierfehler, was den Angreifern wertvolle Zeit für die Ausführung ihrer Attacke verschaffte.
Mehrstufige Kompromittierung des Entwicklersystems
Nach der Installation etablierte sich eine manipulierte ScreenConnect-Version auf dem System des Entwicklers, die Fernzugriff ermöglichte. In der zweiten Phase infizierten die Angreifer das System mit dem Open-Source-Backdoor Quasar und einem Stealer-Programm, das gezielt Daten aus Browsern, E-Mail-Clients und Kryptowährungs-Wallets extrahierte.
Die Sophistication der Attacke zeigte sich in der zeitlichen Koordination: Während das Opfer die fehlende Syntaxhervorhebung als harmlosen Bug interpretierte, etablierten die Cyberkriminellen bereits vollständige Kontrolle über das System und bereiteten den Diebstahl der Kryptowährungen vor.
Eskalation durch Typosquatting-Techniken
Nach der Entfernung der ersten schädlichen Erweiterung am 2. Juli 2025 eskalierten die Angreifer ihre Strategie. Sie veröffentlichten eine neue Erweiterung mit dem exakten Namen „solidity“ des legitimen Plugins und erhöhten die gefälschten Download-Zahlen auf 2 Millionen.
Besonders raffiniert war die Nachahmung des Entwicklernamens: Das originale Plugin stammte von „juanblanco“, während die gefälschte Version von „juanbIanco“ publiziert wurde. In der Cursor AI-Schriftart sind die Buchstaben „l“ und „I“ optisch nicht unterscheidbar, was die Täuschung nahezu perfekt machte.
Schutzmaßnahmen gegen Supply-Chain-Attacken
Sicherheitsexperten warnen, dass die Identifikation kompromittierter Open-Source-Pakete zunehmend schwieriger wird. Die Angreifer kombinieren Social Engineering mit ausgeklügelten Algorithmus-Manipulationen, um schädliche Inhalte zu verbreiten.
Entwickler sollten mehrschichtige Verifikationsprozesse implementieren: Überprüfung der Entwickleridentität, Analyse der Veröffentlichungsdaten, Bewertung der Download-Statistiken und Code-Reviews vor der Installation. Besonders bei kryptowährungsbezogenen Projekten empfiehlt sich die Isolation kritischer Operationen in separaten, gehärteten Umgebungen.
Dieser Vorfall verdeutlicht die Evolution der Cyberbedrohungen im Blockchain-Ökosystem. Selbst erfahrene Entwickler mit ausgeprägtem Sicherheitsbewusstsein können Opfer ausgeklügelter Supply-Chain-Attacken werden. Die kontinuierliche Weiterentwicklung von Sicherheitsprotokollen und erhöhte Vigilanz bei der Verwendung externer Komponenten sind essentiell für den Schutz vor diesen aufkommenden Bedrohungen.
