卡巴斯基全球研究与分析团队（GReAT）近日发现，一批针对Cursor用户的恶意开源扩展包，暗中植入了“Quasar”后门和信息窃取程序，用以盗取用户的加密货币资产。Cursor是一款基于Visual Studio Code的开发工具，专注于AI辅助编程。

这些恶意扩展被上传到开源的Open VSX代码仓库，并伪装成专为Solidity语言提供支持的插件，但实际上安装后就会偷偷下载并执行恶意代码。

恶意扩展在Open VSX仓库中的描述

此次攻击的受害者是一名俄罗斯区块链开发者。他向卡巴斯基求助时，攻击者已通过安装的假冒扩展程序，窃取了价值高达50万美元的加密货币资产。

攻击者之所以得逞，正是利用了搜索排序漏洞——他们通过伪造下载量（达到5.4万次），使得自己的恶意扩展在搜索结果中排在了真实扩展之前。

搜索“solidity”的结果（红色框内为恶意扩展，绿色框内为真实扩展）

用户安装该扩展后，未获得任何实际功能，却被悄悄植入了ScreenConnect远程控制软件，攻击者借此取得对电脑的远程访问权限。随后，攻击者又植入了开源的“Quasar”后门程序和信息窃取软件，这些软件专门窃取浏览器、邮件客户端以及加密货币钱包的数据，进而获得开发者的钱包助记词，最终将大量的加密货币转出。

被发现并从仓库删除后，攻击者还不甘心，再次上传了恶意扩展，并将其下载次数伪造得更高——达到了惊人的200万次，而真实扩展的下载次数仅为6.1万次。最终，在卡巴斯基的介入下，该扩展才彻底从平台下架。

攻击者再次上传的恶意扩展

卡巴斯基安全研究员Georgy Kucherin表示：

「仅凭肉眼识别被污染的开源软件包变得越来越困难。如今攻击者手段花样百出，即便经验丰富的开发者、尤其是区块链开发人员也可能中招。我们预测，针对开发者的攻击将持续增加。因此，即使是IT领域的专家，也应该部署专门的安全防护工具，保护敏感数据，避免经济损失。」

此次攻击背后的黑客团伙，不仅发布了恶意的Solidity扩展，还在NPM包中上传了名为solsafe的恶意软件。此外，数月前还有另外三个针对Visual Studio Code的恶意扩展发布，包括：

- solaibot

- among-eth

-blankebesxstnion

这些扩展现已全部被删除。