16/09/25
/hack49-2.jpg?width=300&height=174&name=hack49-2.jpg)
Исследователи из компании Koi Security обнаружили 24 вредоносных расширения, размещённых в официальных хранилищах Visual Studio Marketplace и Open VSX. Несмотря на удаление части из них, злоумышленники продолжают загружать новые версии, поддерживая кампанию в активном состоянии, пишет Securitylab.
Одним из пострадавших стал разработчик Ethereum Зак Коул, чей криптокошелёк оказался опустошён после установки дополнения contractshark.solidity-lang для редактора Cursor. Расширение выглядело вполне правдоподобно: у него был профессионально оформленный значок, подробное описание и десятки тысяч скачиваний.
Подобная маскировка позволила WhiteCobra привлечь внимание большого числа пользователей. При этом ранее та же группировка уже была замечена в июльском эпизоде кражи криптовалюты на сумму около полумиллиона долларов, когда они распространяли поддельное расширение для Cursor.
Атака эксплуатирует уязвимость самой экосистемы: единый формат пакетов VSIX используется сразу в нескольких редакторах, а проверка загружаемых дополнений остаётся минимальной. Это позволяет злоумышленникам быстро адаптировать и масштабировать кампанию.
Koi Security отмечает, что каждое из созданных расширений имитирует легальные проекты, копируя названия и описание. В списке выявленных фиктивных пакетов оказались ChainDevTools.solidity-pro, kilocode-ai.kilo-code, nomic-fdn.hardhat-solidity, juan-blanco.solidity, Ethereum.solidity-ethereum и многие другие. Их можно было встретить как в Open-VSX, так и в VS Code Marketplace.
Технически вредоносные дополнения устроены достаточно просто. Основной файл extension.js почти полностью повторяет шаблон «Hello World», но содержит скрытый вызов к другому скрипту — prompt.js. Он, в свою очередь, загружает полезную нагрузку с серверов Cloudflare Pages. Для Windows поставляется PowerShell-скрипт, запускающий Python-код и внедряющий шелл-код, после чего активируется LummaStealer — известный троян для кражи данных. Он нацелен на криптовалютные кошельки, браузерные расширения, сохранённые пароли и переписку в мессенджерах. На macOS используется бинарный файл Mach-O для ARM и Intel, загружающий другой, пока не классифицированный, вредонос .
В распоряжении специалистов оказался внутренний плейбук WhiteCobra, где подробно описаны финансовые цели кампаний, методы продвижения поддельных расширений и инструкции по развёртыванию инфраструктуры управления. Судя по этим данным, группировка действует организованно и может запускать новые волны атак всего за три часа после блокировки предыдущих. В документах фигурируют суммы от 10 тысяч до полумиллиона долларов, которые преступники планируют получить за одну серию операций.
Специалисты подчёркивают, что привычные ориентиры вроде количества скачиваний, положительных отзывов и оценок больше не являются надёжным показателем безопасности. Эти цифры легко накручиваются, а поддельные проекты нередко копируют имена известных разработчиков или организаций. Поэтому рекомендуется внимательно проверять расширения перед установкой, обращать внимание на подозрительные совпадения в названиях и остерегаться проектов, которые за короткое время набрали десятки тысяч загрузок.
