Una operación sofisticada de delitos cibernéticos ha robado con éxito $ 500,000 en activos de criptomonedas de un desarrollador de cadena de bloques ruso a través de una extensión maliciosa dirigida al entorno de desarrollo integrado de cursor IA.
El ataque, que ocurrió en junio de 2025, representa una evolución preocupante en los ataques de la cadena de suministro que explota la creciente popularidad de las herramientas de desarrollo asistidas por AI.
El incidente comenzó cuando la víctima, un desarrollador consciente de la seguridad que había instalado recientemente un nuevo sistema operativo, buscó una sintaxis de solidez que destacara la extensión dentro del cursor AI IDE.
A pesar de usar servicios de detección de malware en línea y mantener prácticas de seguridad estrictas, el desarrollador instaló inadvertidamente un paquete malicioso que se disfrazó de una herramienta de desarrollo legítima.
La extensión falsa, publicada bajo el nombre de “lenguaje de solidez”, había acumulado 54,000 descargas antes de ser detectado y eliminado.
Lo que hace que este ataque sea particularmente insidioso es su explotación de los algoritmos de clasificación de búsqueda para colocar la extensión maliciosa por encima de las alternativas legítimas.
La descripción de la extensión en el registro Open VSX (fuente – SecurElist)
Los atacantes aprovecharon el sistema de clasificación basado en relevancia Open VSX Registry, que considera factores que incluyen la recuperación de actualizaciones, recuentos de descargas y calificaciones.
Al publicar su extensión maliciosa con una reciente fecha de actualización del 15 de junio de 2025, en comparación con la actualización de la extensión legítima del 30 de mayo de 2025, los cibercriminales manipularon con éxito su paquete para que apareciera cuarto en los resultados de búsqueda, mientras que la extensión auténtica ocupó el octavo lugar.
Analistas de seguridad identificado El malware después de realizar un análisis forense del sistema comprometido de la víctima.
La investigación reveló que la extensión maliciosa no contenía sintaxis real que resalte la funcionalidad, sino que sirvió como un gotero para una cadena de ataque de varias etapas.
Cadena de infección
El mecanismo de infección del malware demuestra una comprensión sofisticada de las técnicas de ingeniería social y evasión técnica.
Resultados de búsqueda de “solidez”: extensiones maliciosas (rojas) y legítimas (verdes) (fuente – Securelist)
Tras la instalación, el archivo Extension.js malicioso, ubicado en %userProfile %\. Cursor \ extensions \ solidiesi.solidity-1.0.9-universal \ src \ extension.js, inició inmediatamente el contacto con el comando y el servidor de control en Angelic (.) SU.
El script de PowerShell inicial recuperado de https: // angelic (.) SU/archivos/1.Txt verificó la presencia de screenconnect remoto gestión de software en la máquina de la víctima.
Si no se detectó Screenconnect, el malware descargó un script secundario de https: // angelic (.) SU/files/2.txt, que luego recuperó el instalador de screenconnect de https: // lmfao (.) Su/bin/screenconnect.clientsetup.msi.
Esta herramienta de acceso remoto legítimo se configuró para comunicarse con la infraestructura de los atacantes en Relay.lmfao (.) Su, proporcionando un acceso persistente al sistema comprometido.
El uso de herramientas administrativas legítimas representa una táctica común empleada por actores de amenaza persistentes avanzados para combinar actividades maliciosas con operaciones normales del sistema.
La infraestructura de ataque revela una operación bien organizada que se extiende más allá de este único incidente.
Los investigadores descubrieron paquetes maliciosos relacionados que incluyen “SolSafe” en el repositorio de NPM y tres extensiones adicionales de código de estudio Visual: Solaibot, entre-ET y Blankebesxstnion, todas empleando metodologías de infección idéntica y se comunican con la misma infraestructura de comando y control.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
