Блокчейн-розробник з рф втратив близько $500 тис. у криптовалюті через встановлення шкідливого розширення для редактора коду Cursor AI. Постраждалий шукав звичайне розширення для підсвічування синтаксису мови Solidity, але завантажив підроблену версію.

Він шукав у магазині розширень для браузера Cursor AI за запитом «solidity» і вибрав розширення «Solidity Language», яке мало 54,000 завантажень. Як виявилось, це був фейк – хакери скопіювали опис з оригінального розширення (яке мало 61,000 завантажень) і створили підроблену версію. Хакерське розширення  відображалось вище в результатах пошуку через алгоритм ранжування. Хоча воно мало менше завантажень, його оновили пізніше (15 червня 2025 року) порівняно з оригіналом (30 травня), що підвищило його позицію в пошуку.

Замість підсвічування коду, розширення завантажувало шкідливий PowerShell-скрипт з сервера, потім встановлювало програму віддаленого управління ScreenConnect. Далі йшло завантаження трояна для крадіжки даних. Хакерське розширення збирало інформацію з браузерів, email-клієнтів та криптогаманців.

Після видалення першого підробленого розширення 2 липня 2025 року, хакери опублікували нове з точно такою ж назвою як оригінал – «solidity». Вони навіть імітували ім’я розробника. На перший погляд, імена розробників виглядають ідентично, але легальний пакет від juanblanco, а шкідливий – juanbIanco (з великою літерою «I»). Шрифт, який використовує Cursor AI, робить малу літеру l і велику I ідентичними.

Тому в результатах пошуку з’явилися два, на перший погляд, ідентичних розширення: легальне з 61 тис. завантажень і шкідливе з 2 мільйонами завантажень.

Джерело: SecureList