Útočník vystupující pod jménem WhiteCobra zaplavil tržiště rozšíření pro vývojářské editory VS Code, Cursor a Windsurf desítkami balíčků, které kradou kryptoměny. Podle bezpečnostní společnosti Koi Security jde o pokračující kampaň, v níž jsou průběžně nahrávány nové verze škodlivých doplňků, nahrazující ty dříve odstraněné.
Hlavní vývojář Etherea Zak Cole ve veřejném příspěvku popsal, že po instalaci jednoho z rozšíření přišel o prostředky uložené ve své peněžence. „Rozšíření působilo naprosto důvěryhodně – mělo profesionální ikonu, podrobný popis a přes 50 000 stažení,“ uvedl Cole. Šlo o doplněk contractshark.solidity-lang, dostupný na Open VSX registru pro editor Cursor.
WhiteCobra už v červenci odcizila kryptoměny v hodnotě 500 000 USD prostřednictvím falešného rozšíření pro Cursor. Podle Koi Security jsou balíčky konstruovány tak, aby působily legitimně – s detailními popisy a uměle navýšeným počtem stažení. Seznam nejnovějších podvodných doplňků zahrnuje více než dvacet názvů publikovaných jak na Open VSX, tak na VS Code Marketplace.
Funkce malwaru začíná spuštěním souboru extension.js, který je téměř totožný s výchozí šablonou „Hello World“. Skutečný škodlivý kód se však spouští až sekundárně přes prompt.js a stahuje se z platformy Cloudflare Pages. Na Windows je aktivován řetězec příkazů vedoucí k malwaru LummaStealer, jenž krade data z peněženek, webových prohlížečů či komunikačních aplikací. Na macOS je spuštěn škodlivý binární soubor Mach-O.
Interní příručka, připisovaná WhiteCobře, dokonce stanovuje cíle příjmů mezi 10 000 a 500 000 USD a obsahuje návody k budování infrastruktury i marketingu kampaní. To podle Koi Security potvrzuje, že jde o organizovanou skupinu, která je schopna nasadit novou kampaň během tří hodin.
Společnost zdůrazňuje, že uživatelé by měli při stahování rozšíření dbát zvýšené opatrnosti. „Hodnocení, recenze ani počty stažení nejsou zárukou důvěryhodnosti,“ upozorňuje Koi Security. Doporučuje vybírat pouze projekty s dlouhodobou reputací a být obezřetný vůči novým balíčkům, které rychle získají vysoký počet pozitivních hodnocení.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
Zdroj: ICT NETWORK NEWS
