IDE開發工具Cursor AI用戶遭惡意延伸套件攻擊，50萬美元加密貨幣遭竊

鎖定Visual Studio Code（VSCode）的惡意延伸套件攻擊，已有多起事故發生，如今也有攻擊其他整合式開發工具（IDE）用戶的情況出現。

事件的揭露是源自一名白俄羅斯的區塊鏈開發人員，他的加密貨幣資產在今年6月遭竊，損失約50萬美元，但怪異的是，電腦的作業系統在事發數天前才重灌，電腦只有安裝必要的應用程式，他並未下載其他檔案，這樣的情況相當不尋常，於是他找上資安業者卡巴斯基尋求協助。

卡巴斯基在受害電腦進行調查，結果找到名為extension.js的檔案，經過分析此為Cursor AI延伸套件Solidity Language，可從Open VSX套件庫取得。此套件約於兩個月前上架，已被下載5.4萬次，號稱能對Solidity智慧合約的程式碼最佳化。但實際上，這是模仿正牌工具Solidity的惡意套件，並未具備介紹網頁裡列出的功能，真正功能是從特定的網頁伺服器下載惡意程式碼並執行。

正牌的Solidity已被下載6.1萬次，照理來說，還是比冒牌的要來得多，但為何開發人員會上當？卡巴斯基在Open VSX使用關鍵字solidity搜尋，結果冒牌套件在第4個結果，但正牌的在第8名。會造成這樣的搜尋結果，與搜尋引擎採用相關性排序有關，這些評比的因素包含評分、發布或更新的時間、下載次數，以及是否通過驗證。冒牌套件最後更新日期為6月15日，正牌套件為5月30日，而有可能因此影響綜合相關性評比結果，使得搜尋引擎優先顯示冒牌套件。

這名受害的開發人員在不慎安裝冒牌套件之後，誤以為僅是系統錯誤而決定稍後處理，但此時該套件已開始在後臺部署惡意軟體。首先，攻擊者下載PowerShell指令碼，檢查受害電腦是否安裝遠端管理軟體ScreenConnect，並建立C2連線。

接著，攻擊者利用3個VBScript檔案執行後續活動，於受害電腦部署後門程式Quasar，並使用竊資軟體從瀏覽器、收信軟體、加密貨幣錢包收集特定資料，最終洗劫受害者的加密貨幣錢包。