Een Russische blockchain-ontwikkelaar verloor een half miljoen dollar aan cryptocurrency nadat hij een kwaadaardige extension voor zijn code-editor had geïnstalleerd. De aanval toont aan hoe criminelen misbruik maken van open-source repositories om ontwikkelaars te misleiden.
De ontwikkelaar installeerde een schijnbaar legitieme Solidity-extension uit de Open VSX registry voor zijn Cursor AI-editor. Met 54.000 downloads en een hogere ranking in zoekresultaten dan de echte versie, leek het betrouwbaar. Echter, deze malafide tool leverde geen enkele syntax highlighting-functionaliteit.
In plaats daarvan downloadde de extension stilletjes een PowerShell-script van angelic[.]su dat vervolgens ScreenConnect remote access software installeerde. Via deze backdoor kregen aanvallers volledige controle over het systeem van de ontwikkelaar.
De aanval begon toen de ontwikkelaar op zoek was naar een syntax highlighter voor Solidity-code. De malware installeerde daarnaast verschillende VBScripts die stealers downloaden vanaf paste.ee. Deze tools verzamelden data uit browsers, e-mailclients en cryptowallets, waarmee de aanvallers uiteindelijk wachtwoorden bemachtigden en cryptocurrency konden stelen.
Uitgebreide campagne tegen developers
Het incident vormt onderdeel van een bredere campagne. Onderzoekers ontdekten vergelijkbare aanvallen via andere malafide extensions zoals “solaibot”, “among-eth” en “blankebesxstnion”. Ook werd een kwaadaardige npm-package genaamd “solsafe” gevonden die dezelfde tactiek gebruikt.
De criminelen passen hun aanpak voortdurend aan. Nadat de eerste nepextension werd weggenomen, publiceerden zij direct een nieuwe versie met exact dezelfde naam als het legitieme pakket. Door gebruik te maken van een vergelijkbare gebruikersnaam (juanbIanco versus juanblanco) en het opblazen van downloadcijfers naar twee miljoen, probeerden zij ontwikkelaars opnieuw te misleiden.
Het ranking-algoritme van Open VSX speelt criminelen in de kaarten. Nieuwe pakketten krijgen een boost in de zoekresultaten, waardoor malafide software boven legitieme alternatieven kan uitkomen. Dit mechanisme wordt systematisch uitgebuit door deze aanvallers.
De aanvallen richten zich specifiek op blockchain-ontwikkelaars, vermoedelijk omdat zij toegang hebben tot waardevolle cryptocurrency. Experts adviseren ontwikkelaars om extra voorzichtig te zijn bij het installeren van pakketten uit open-source repositories.