Специалисты по кибербезопасности компании Socket выявили серьезную угрозу для пользователей популярного редактора кода Cursor AI. В репозитории npm обнаружены три вредоносных пакета, замаскированных под инструменты разработки для данной IDE. Злоумышленники использовали социальную инженерию, предлагая бесплатный доступ к премиум-функциям Cursor AI.
Анатомия вредоносной кампании
Вредоносное ПО распространялось через три npm-пакета, опубликованных пользователями под никами gtr2018 и aiide. Суммарное количество загрузок превысило 3200, что указывает на значительный масштаб потенциального заражения. Особую обеспокоенность вызывает тот факт, что некоторые из этих пакетов остаются доступными в репозитории npm даже после подачи официальной заявки на их удаление.
Технический анализ вредоносного кода
Исследование показало, что малварь реализует многоступенчатый механизм заражения. После установки вредоносный код выполняет следующие действия:
- Похищает учетные данные пользователя
- Загружает и расшифровывает вредоносную полезную нагрузку
- Модифицирует системные файлы Cursor AI
- Отключает механизм автоматического обновления
Потенциальные риски и последствия
Эксперты Socket подчеркивают, что данная атака несет серьезные риски как для индивидуальных разработчиков, так и для корпоративных пользователей. Компрометация IDE может привести к утечке проприетарного кода, внедрению вредоносных компонентов в проекты и компрометации CI/CD-инфраструктуры. Особую опасность представляет возможность несанкционированного доступа к платным сервисам и кодовой базе, открытой в IDE.
Рекомендации по защите
Пользователям Cursor AI, которые могли установить скомпрометированные пакеты, настоятельно рекомендуется предпринять следующие меры безопасности:
- Переустановить Cursor AI из официального источника
- Сменить все учетные данные
- Провести аудит кодовой базы на предмет несанкционированных изменений
- Проверить системы на наличие дополнительного вредоносного ПО
Данный инцидент подчеркивает важность тщательной проверки сторонних пакетов и инструментов разработки, особенно когда речь идет о бесплатных альтернативах платным сервисам. Разработчикам рекомендуется использовать только официальные источники программного обеспечения и регулярно проводить аудит безопасности своих систем разработки.
