Aktor ancaman bernama Whitecobra telah menargetkan pengguna vScode, kursor, dan windsurf dengan menanam 24 ekstensi jahat di pasar Visual Studio dan Registry VSX terbuka.
Kampanye ini sedang berlangsung karena aktor ancaman terus mengunggah kode berbahaya baru untuk menggantikan ekstensi yang dihapus.
Dalam sebuah pos publik, pengembang Core Ethereum Zak Cole menggambarkan bagaimana dompetnya terkuras setelah menggunakan ekstensi yang tampaknya sah (Contractshark.solidity-lang) untuk editor kode kursor.
.png)
Cole menjelaskan bahwa ekstensi ini menampilkan semua tanda -tanda produk jinak dengan ikon yang dirancang secara profesional, deskripsi terperinci, dan 54.000 unduhan di OpenVSX, registri resmi Cursor.
Whitecobra adalah kelompok yang sama yang bertanggung jawab atas $ 500.000 Crypto-Theft Pada bulan Juli, melalui ekstensi palsu untuk editor kursor, menurut para peneliti di penyedia keamanan titik akhir KOI.
Serangan Whitecobra
VS (Visual Studio) Code, Cursor, dan Windsurf adalah editor kode yang mendukung ekstensi VSIX – format paket default untuk ekstensi yang diterbitkan di pasar VS Code dan platform OpenVSX.
Kompatibilitas silang ini dan kurangnya tinjauan pengiriman yang tepat pada platform ini menjadikannya ideal untuk penyerang yang ingin menjalankan kampanye dengan jangkauan luas.
Menurut KOI Security, Whitecobra menciptakan ekstensi VSIX berbahaya yang tampak sah karena keseluruhan deskripsi yang dibuat dengan cermat dan jumlah unduhan yang meningkat.
Koi Security menemukan bahwa ekstensi berikut adalah bagian dari kampanye Whitecobra terbaru:
OpenVSX (kursor/windsurf)
- Chaindevtools.solidity-pro
- Kilocode-Ai.Kilo-Code
- nomic-fdn.hardhat-soliditas
- oxc-vscode.oxc
- Juan-Blanco.solidity
- kineticsquid.solidity-ethereum-vsc
- Ethfoundry.solidityethereum
- Juanfblanco.solidity-ai-ethereum
- Ethereum.solidity-ethereum
- Juan-Blanco.solidity
- Nomicfdn.hardhat-soliditas
- Juan-blanco.vscode-Solidity
- nomic-foundation.hardhat-solidity
- nomic-fdn.solidity-hardhat
- Crypto-Extensions. Soliditas
- Crypto-Extensions.snowshsono
VS Code Marketplace
- Yuanfblanco.awhh
- Ethfoundry.etherfoundrys
- Ellisonbrett.GivingBlankies
- Marcuslockwood.wgbk
- Vitalikbuterin-ethfoundation.Blan-co
- Menampilkan ryrypto.snowshono
- Crypto-Extensions.snowshsono
- Red.rojo -rox -vscode
Sumber: Keamanan KOI
Pengeringan dompet dimulai dengan mengeksekusi file utama (extension.js) yang “hampir identik dengan boilerplate” Hello World “default yang dilengkapi dengan setiap template ekstensi vScode,” para peneliti mengatakan.
Namun, ada panggilan sederhana yang menentang eksekusi ke skrip sekunder (prompt.js). Payload tahap berikutnya diunduh dari halaman Claudflare. Payload khusus platform, dengan versi yang tersedia untuk Windows, MacOS on Arm, dan MacOS di Intel.
Di Windows, skrip PowerShell menjalankan skrip Python yang mengeksekusi shellcode untuk menjalankan malware Lummastealer.
Lummastealer adalah malware mencuri info yang menargetkan aplikasi dompet cryptocurrency, ekstensi web, kredensial yang disimpan di browser web, dan data aplikasi pesan.
Pada macOS, payload adalah biner Mach-O berbahaya yang dieksekusi secara lokal untuk memuat keluarga malware yang tidak diketahui.
Menurut buku pedoman internal Whitecobra, penjahat cyber mendefinisikan target pendapatan antara $ 10.000 dan $ 500.000, memberikan panduan pengaturan infrastruktur perintah dan kontrol (C2), dan menggambarkan strategi promosi rekayasa sosial dan pemasaran.
Sumber: Keamanan KOI
Ini menegaskan bahwa kelompok ancaman beroperasi secara terorganisir dan tidak terhalang oleh paparan atau penghapusan. Koi Security mengatakan bahwa Whitecobra mampu menggunakan kampanye baru dalam waktu kurang dari tiga jam.
Para peneliti memperingatkan bahwa mekanisme verifikasi yang lebih baik diperlukan untuk membedakan antara ekstensi berbahaya dan yang sah yang tersedia dalam repositori, sebagai peringkat, jumlah unduhan, dan ulasan dapat dimanipulasi untuk menanamkan kepercayaan.
Rekomendasi Umum Saat mengunduh ekstensi pengkodean adalah untuk memeriksa peniruan dan upaya pengetik, cobalah hanya menggunakan proyek yang diketahui dengan catatan kepercayaan yang baik. Biasanya, lebih baik curiga terhadap proyek -proyek baru yang mengumpulkan sejumlah besar unduhan dan ulasan positif dalam waktu singkat.
