Les experts du GReAT (Global Research and Analysis Team) de Kaspersky ont découvert des paquets open-source qui téléchargent le backdoor Quasar et un stealer conçu pour exfiltrer des cryptomonnaies. Ces paquets malveillants sont destinés à l'environnement de développement Cursor, qui est basé sur Visual Studio Code, un outil utilisé pour le codage assisté par l'IA.
Les paquets open-source malveillants sont des extensions hébergées dans le répertoire Open VSX qui prétendent prendre en charge le langage de programmation Solidity. Cependant, dans la pratique, ils téléchargent et exécutent des codes malveillants sur les appareils des utilisateurs.
Lors d'une réponse à incident, un développeur blockchain russe a contacté Kaspersky après avoir installé l'une de ces fausses extensions sur son ordinateur, ce qui a permis aux attaquants de voler des crypto-actifs d'une valeur d'environ 500 000 dollars.
Le cybercriminel a réussi à tromper le développeur en manipulant le classement du paquet malveillant pour qu'il surpasse celui du paquet légitime. Cette supercherie a été rendue possible en gonflant artificiellement le nombre de téléchargements du programme malveillant à 54 000.
Après l'installation, la victime n'a bénéficié d'aucune fonctionnalité réelle de l'extension. En revanche, le logiciel malveillant ScreenConnect a été installé sur l'ordinateur pour accorder aux cybercriminels un accès à distance à l'appareil infecté. Ces derniers ont ensuite lancé la porte dérobée open-source Quasar ainsi qu'un stealer qui collecte des données des navigateurs, des clients de messagerie et des portefeuilles de cryptomonnaie. Cela a permis aux cybercriminels d’obtenir les phrases de récupération des portefeuilles des développeurs et de voler des cryptomonnaies sur les comptes.
Une fois l’extension malveillante mise au jour par le développeur, celle-ci a été supprimée du répertoire. Toutefois, le cybercriminel l’a republiée et a gonflé artificiellement le nombre d’installations, atteignant 2 millions, contre 61 000 pour l’extension légitime.
Kaspersky a déjà signalé cette extension pour qu’elle soit retirée de la plateforme.
« Il devient de plus en plus difficile de repérer à l'œil nu les programmes open source compromis. Les cybercriminels utilisent des techniques de plus en plus inventives pour tromper leurs victimes potentielles, y compris des développeurs pourtant bien sensibilisés aux risques de cybersécurité, notamment dans le domaine du développement blockchain. Nous prévoyons que ces attaques ciblant les développeurs se poursuivent. Il est donc fortement recommandé que même les professionnels IT expérimentés déploient des solutions de sécurité dédiées pour protéger leurs données sensibles et éviter les pertes financières », commente Georgy Kucherin, chercheur en sécurité au sein de l’équipe Global Research and Analysis Team de Kaspersky.
L’auteur de cette attaque n’a pas seulement publié des extensions Solidity malveillantes, il a également publié un paquet NPM, nommé solsafe, qui télécharge également ScreenConnect. Quelques mois plus tôt, trois autres extensions malveillantes pour Visual Studio Code avaient été diffusées (solaibot, among-eth et blankebesxstnion), toutes ont depuis été supprimées du répertoire.
Plus d’informations disponibles sur Securelist.com.
