Нещодавній інцидент у світі кібербезпеки демонструє нову загрозливу тенденцію: зловмисники почали активно використовувати підроблені розширення для середовищ розробки як вектор атаки на програмістів. Російський блокчейн-розробник став жертвою такої атаки, втративши близько 500,000 доларів у криптовалюті після встановлення зараженого розширення з магазину Open VSX.
Анатомія атаки через підроблене Solidity розширення
Експерти “Лабораторії Касперського” встановили, що операційна система жертви була встановлена лише за кілька днів до інциденту. Розробник, добре обізнаний з кіберризиками у сфері криптовалют, дотримувався всіх заходів безпеки та встановлював виключно перевірені програми.
Центральним елементом атаки став файл extension.js, що входив до складу фальшивого розширення Solidity Language для IDE Cursor AI. Розширення було опубліковано в репозиторії Open VSX приблизно два місяці тому і на момент виявлення мало 54,000 завантажень.
Маніпуляції з алгоритмом ранжування
Кіберзлочинці скористалися особливостями алгоритму ранжування Open VSX, який враховує рейтинг розширення, актуальність, кількість завантажень та наявність верифікації. Шкідливе розширення посіло 4-е місце в пошуковій видачі за запитом “solidity”, тоді як легітимне розташувалося лише на 8-му місці.
Підроблений плагін не містив заявленої функціональності підсвічування синтаксису Solidity. Замість цього він завантажував і запускав шкідливий PowerShell-скрипт з сервера angelic[.]su. Опис розширення було повністю скопійовано зі сторінки легітимного аналога.
Багатоетапна атака на криптоактиви
Після встановлення фальшивого розширення на комп’ютер жертви проникла шкідлива збірка ScreenConnect, що забезпечувала віддалений доступ до пристрою. Наступним етапом стало зараження машини опенсорсним бекдором Quasar і стилером, який збирав дані з браузерів, поштових клієнтів та криптогаманців.
Розробник не одразу запідозрив неладне, оскільки відсутність підсвічування синтаксису прийняв за звичайну помилку в роботі розширення. Це дало зловмисникам час для розгортання повноцінної атаки на криптоактиви.
Еволюція атаки та нові загрози
Після видалення першого шкідливого пакета 2 липня 2025 року хакери не зупинилися. Наступного дня вони опублікували нове розширення з назвою “solidity”, повністю повторюючи ім’я легітимного плагіна. Кількість фальшивих завантажень було збільшено до 2 мільйонів.
Особливо підступною виявилася тактика імітації імені розробника: легітимне розширення належало користувачу “juanblanco”, а шкідливе – “juanbIanco”. У шрифті Cursor AI літери “l” і “I” виглядають ідентично, що робить різницю практично непомітною.
Стратегії захисту від подібних атак
Фахівці відзначають, що розпізнавати скомпрометовані opensource-пакети стає дедалі складніше. Зловмисники використовують витончені тактики соціальної інженерії та особливості алгоритмів ранжування для просування шкідливого контенту.
Для захисту від подібних загроз рекомендується ретельно перевіряти автентичність розширень, звертати увагу на деталі імен розробників і дати публікації. Розробникам, що працюють з криптовалютами, варто використовувати спеціалізовані рішення для забезпечення безпеки та ізолювати критично важливі операції від основного робочого середовища.
Цей інцидент підкреслює важливість комплексного підходу до кібербезпеки в епоху активного розвитку блокчейн-технологій. Навіть досвідчені розробники можуть стати жертвами складних атак, що вимагає постійного підвищення рівня захисту та пильності при роботі з будь-якими зовнішніми компонентами. Регулярне оновлення знань про нові кіберзагрози та дотримання принципів безпечної розробки залишаються ключовими факторами захисту цифрових активів.
