Российский блокчейн-разработчик стал жертвой изощренной кибератаки, потеряв около 500,000 долларов в криптовалюте после установки зараженного расширения из магазина Open VSX. Этот инцидент демонстрирует новую тенденцию в мире киберугроз, где злоумышленники используют поддельные расширения для IDE в качестве вектора атаки на разработчиков.
Детали атаки через поддельное расширение Solidity
Анализ специалистов «Лаборатории Касперского» показал, что операционная система жертвы была установлена всего за несколько дней до инцидента. Пострадавший, хорошо знакомый с киберрисками в сфере криптовалют, проявлял максимальную осторожность и устанавливал только проверенные программы.
Ключевым элементом атаки стал файл extension.js, который являлся компонентом поддельного расширения Solidity Language для среды разработки Cursor AI. Расширение было опубликовано в хранилище Open VSX около двух месяцев назад и на момент обнаружения имело 54,000 загрузок.
Механизм обмана через алгоритм ранжирования
Злоумышленники воспользовались особенностями алгоритма ранжирования Open VSX, который учитывает множество факторов: рейтинг расширения, новизну, количество загрузок и наличие верификации. Вредоносное расширение заняло 4-е место в поисковой выдаче по запросу «solidity», в то время как легитимное расположилось лишь на 8-м месте.
Поддельный плагин не содержал заявленной функциональности — подсветки синтаксиса Solidity. Вместо этого он загружал и запускал вредоносный PowerShell-скрипт с сервера angelic[.]su. Описание расширения было полностью скопировано со страницы легитимного аналога.
Многоступенчатая атака на криптоактивы
После установки поддельного расширения на компьютер жертвы проникла вредоносная сборка ScreenConnect, обеспечивающая удаленный доступ к устройству. Следующим этапом стало заражение машины опенсорсным бэкдором Quasar и стилером, собирающим данные из браузеров, почтовых клиентов и криптокошельков.
Разработчик не сразу заподозрил неладное, поскольку отсутствие подсветки синтаксиса принял за обычную ошибку в работе расширения. Это дало злоумышленникам время для развертывания полноценной атаки на криптоактивы.
Эволюция атаки и новые угрозы
После удаления первого вредоносного пакета 2 июля 2025 года, хакеры не остановились. На следующий день они опубликовали новое расширение с названием «solidity», полностью повторяя имя легитимного плагина. Количество фальшивых загрузок было увеличено до 2 миллионов.
Особенно коварной оказалась тактика имитации имени разработчика: легитимное расширение принадлежало пользователю «juanblanco», а вредоносное — «juanbIanco». В шрифте Cursor AI буквы «l» и «I» выглядят идентично, что делает различие практически незаметным.
Рекомендации по защите от подобных атак
Эксперты отмечают, что отличать скомпрометированные opensource-пакеты становится все сложнее. Злоумышленники используют изощренные тактики социальной инженерии и особенности алгоритмов ранжирования для продвижения вредоносного контента.
Для защиты от подобных угроз рекомендуется тщательно проверять подлинность расширений, обращать внимание на детали имен разработчиков и даты публикации. Разработчикам, работающим с криптовалютами, следует использовать специализированные решения для обеспечения безопасности и изолировать критически важные операции от основной рабочей среды.
Данный инцидент подчеркивает важность комплексного подхода к кибербезопасности в эпоху активного развития блокчейн-технологий. Даже опытные разработчики могут стать жертвами сложных атак, что требует постоянного повышения уровня защиты и бдительности при работе с любыми внешними компонентами.
