Блокчейн-разработчик из рф потерял около $500 тыс. в криптовалюте из-за установки вредоносного расширения для редактора кода Cursor AI. Пострадавший искал обычное расширение для подсветки синтаксиса языка Solidity, но загрузил поддельную версию.
Он искал в магазине расширений для браузера Cursor AI по запросу «solidity» и выбрал расширение «Solidity Language», которое имело 54,000 загрузок. Как оказалось, это был фейк — хакеры скопировали описание с оригинального расширения (которое имело 61,000 загрузок) и создали поддельную версию. Хакерское расширение отображалось выше в результатах поиска из-за алгоритма ранжирования. Хотя оно имело меньше загрузок, его обновили позже (15 июня 2025 года) по сравнению с оригиналом (30 мая), что повысило его позицию в поиске.
Вместо подсветки кода, расширение загружало вредоносный PowerShell-скрипт с сервера, затем устанавливало программу удаленного управления ScreenConnect. Далее шла загрузка трояна для кражи данных. Хакерское расширение собирало информацию с браузеров, email-клиентов и криптокошельков.
После удаления первого поддельного расширения 2 июля 2025 года, хакеры опубликовали новое с точно таким же названием как оригинал — «solidity». Они даже имитировали имя разработчика. На первый взгляд, имена разработчиков выглядят идентично, но легальный пакет от juanblanco, а вредоносный — juanbIanco (с большой буквы «I»). Шрифт, используемый Cursor AI, делает строчную букву l и заглавную I идентичными.
Поэтому в результатах поиска появились два, на первый взгляд, идентичных расширения: легальное с 61 тыс. загрузок и вредоносное с 2 миллионами загрузок.
Источник: SecureList