WhiteCobra utilizează extensii rău intenționate în VSCode, Cursor și Windsurf pentru a sustrage fonduri și informații

Când dezvoltatorii instalează o extensie considerată sigură pentru editorul preferat, riscul de pierdere financiară sau de compromitere a datelor poate apărea în câteva clișee tehnice. Un actor cunoscut sub numele WhiteCobra vizează utilizatorii VSCode, Cursor și Windsurf printr-o campanie în care a publicat 24 de extensii malițioase în Visual Studio Marketplace și în registrul Open VSX; operațiunea continuă deoarece atacatorul reîncarcă constant cod nou după ce extensiile sunt eliminate.

Un exemplu concret este cazul relatat de Zak Cole, dezvoltator core în ecosistemul Ethereum, al cărui portofel a fost golit după ce a folosit o extensie aparent legitimă numită contractshark.solidity-lang pentru editorul Cursor. Extensia părea de încredere: pictogramă profesională, descriere detaliată și 54.000 de descărcări pe OpenVSX, registrul oficial al Cursor. Nu este prima acțiune a grupului; cercetătorii de la Koi Security leagă WhiteCobra și de furtul de aproximativ 500.000 de dolari comis în iulie printr-o altă extensie falsă pentru Cursor.

Problema tehnică de bază este compatibilitatea pachetelor VSIX: VS Code, Cursor și Windsurf suportă același format, iar lipsa unei verificări stricte la publicare transformă aceste platforme în ținte atractive pentru campanii cu impact larg. Cercetătorii de la Koi Security arată că WhiteCobra creează pachete VSIX care par legitime, cu descrieri atent redactate și numere de descărcări umflate pentru a câștiga încrederea utilizatorilor.

Lista extensiilor identificate în ultima campanie include pachete publicate pe Open VSX (Cursor/Windsurf), cum ar fi ChainDevTools.solidity-pro, kilocode-ai.kilo-code, nomic-fdn.hardhat-solidity, oxc-vscode.oxc și multiple variante care mimează nume asociate Ethereum sau proiecte cunoscute. Pe Marketplace-ul VS Code au fost detectate pachete precum JuanFBlanco.awswhh, ETHFoundry.etherfoundrys, EllisonBrett.givingblankies și altele care imită proiecte sau autori reali. Tacticile includ și impersonarea proiectelor legitime pentru a atrage descărcări.

Modul de operare urmărește un scenariu simplu, dar eficient: la rularea fișierului principal extension.js, acesta imită boilerplate-ul Hello World al oricărei extensii VSCode, dar conține o instrucțiune care redirecționează execuția către un script secundar prompt.js. Apoi, un payload de etapă următoare este descărcat de pe Cloudflare Pages. Payload-ul este adaptat platformei: există versiuni pentru Windows, macOS pe ARM și macOS pe Intel.

Pe Windows, un script PowerShell declanșează un script Python care încarcă shellcode pentru a rula malware-ul LummaStealer. LummaStealer este un info-stealer care țintește aplicațiile de portofel cripto, extensiile web, credentialele din browsere și date din aplicații de mesagerie. Pe macOS, payload-ul este un binar Mach-O malițios care rulează local și încarcă o familie de malware care nu este complet documentată. Conform documentelor interne WhiteCobra, grupul își stabilește obiective de venit între 10.000 și 500.000 de dolari, oferă ghiduri pentru infrastructura de comandă-control și descrie strategii de inginerie socială și promovare. Toate acestea arată că activitatea este organizată și că nu sunt descurajați de expuneri publice sau de eliminări ale pachetelor compromise.

Koi Security avertizează că mecanismele de verificare din registre trebuie îmbunătățite, deoarece ratingurile, numerele de descărcări și recenziile pot fi manipulate pentru a crea impresia de încredere. Recomandările practice pentru cei care descarcă extensii sunt să verifice posibile cazuri de impersonare sau typosquatting, să folosească proiecte cunoscute cu istoric solid și să fie circumspecți atunci când un proiect nou acumulează rapid multe descărcări și recenzii pozitive.

WhiteCobra a demonstrat că poate lansa o campanie completă în mai puțin de trei ore, ceea ce impune o vigilență sporită din partea dezvoltatorilor și a platformelor care găzduiesc extensii. Verificarea autorilor, validarea pachetelor la publicare, analiza comportamentală a codului și limitarea posibilității de a umfla descărcările sunt câteva dintre măsurile necesare pentru a reduce expunerea.

Manualul intern WhiteCobra menționează cifre clare, precum intervalul de venit țintă 10.000–500.000 dolari, iar exemplele citate includ nume de extensii precise și înregistrarea OpenVSX cu 54.000 de descărcări pentru contractshark.solidity-lang. Trebuie reținut că atacurile exploatează de multe ori slăbiciuni procedurale mai degrabă decât vulnerabilități tehnice exotice; o extensie cu pictogramă atractivă și o descriere bine scrisă poate ascunde un payload periculos. Ce poate face un utilizator azi? Verifică autorul, folosește proiecte cu reputație, urmărește discuțiile pe canale publice și evită instalarea extensiilor necunoscute care cresc brusc în popularitate.

Vulnerabilitatea se concretizează prin nume specifice și prin tacticile WhiteCobra: extensii precum contractshark.solidity-lang, ETHFoundry.etherfoundrys și ChainDevTools.solidity-pro, plus utilizarea LummaStealer pe Windows și a unui binar Mach-O pe macOS. Atenție la pachetele care par să imite proiecte cunoscute; semnele tipice includ erori subtile de scriere, conturi noi cu multe pachete publicate și descrieri care par profesionist realizate, dar fără istoric real. Creșterea rapidă a descărcărilor și a recenziilor pozitive ar trebui privită cu suspiciune, nu ca un motiv de relaxare.

Zak Cole, cifra de 54.000 de descărcări pentru extensia menționată și suma de 500.000 de dolari din atacul anterior sunt exemple care ilustrează amploarea problemei. Poate fi util să urmăriți anunțurile Koi Security și măsurile implementate de Marketplace și OpenVSX pentru a vedea dacă apar mecanisme de validare mai stricte. Ai instalat recent extensii noi în VSCode, Cursor sau Windsurf? Care a fost sursa ta de verificare înainte de instalare?