Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Фальшивое расширение VS Code украло $500 000

11/07/25

images - 2025-07-11T140326.876

Российский блокчейн-разработчик стал жертвой целевой атаки через поддельное расширение в среде Cursor AI: злоумышленникам удалось похитить криптовалюту на сумму около $500 000. Инцидент исследовали специалисты Лаборатории Касперского, которые выявили целую цепочку заражения, построенную на вредоносных пакетах с открытым исходным кодом, имитирующих легитимные инструменты для работы с языком Solidity. Это передаёт Securitylab.

Атака началась с установки фальшивого расширения из репозитория Open VSX. Оно выдавалось за инструмент для подсветки синтаксиса кода на Solidity, но на деле запускало PowerShell-скрипт, загружавший на машину средство удалённого администрирования ScreenConnect. С его помощью на устройство загружались дополнительные компоненты: Quasar — бэкдор с открытым исходным кодом — и стилер, собирающий данные из браузеров, почтовых клиентов и криптокошельков. Все импланты взаимодействовали с C2-сервером relay.lmfao[.]su.

Примечательно, что операционная система разработчика была установлена всего за несколько дней до инцидента и содержала только базовое ПО. Несмотря на осведомлённость о рисках и использование бесплатных антивирусных сервисов, отсутствие полноценного защитного ПО сыграло критическую роль.

Вредоносное расширение попало в выдачу по запросу «solidity» в Open VSX и располагалось на четвёртом месте — выше легитимного, занимавшего восьмую позицию. Поддельный пакет был загружен 54 тысячи раз, тогда как оригинал — 61 тысячу. Однако благодаря алгоритму ранжирования, учитывающему новизну и активность, вредоносный плагин оказался выше. Жертва выбрала его, приняв за проверенный инструмент.

После удаления фальшивого расширения 2 июля 2025 года злоумышленники опубликовали новую подделку — на этот раз с похожим названием и почти неотличимым именем разработчика: вместо латинской «l» в имени juanblanco использовали похожую «I». Новое расширение быстро набрало 2 миллиона загрузок, снова заняв высокие позиции в поиске. Оба пакета были впоследствии удалены.

По данным «Лаборатории Касперского», вредоносные пакеты от этой же группы появлялись и ранее: в частности, в апреле и мае были зафиксированы три аналогичных расширения для Visual Studio Code и пакет solsafe в NPM, использующие ту же схему заражения через PowerShell и обфусцированные VBS-скрипты.

Темы:ПреступленияЛКрасширения
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...