Los expertos del Equipo Global de Investigación y Análisis de Kaspersky (GReAT) han descubierto paquetes maliciosos distribuidos a través del repositorio Open VSX que permiten a los atacantes robar criptomonedas. Los paquetes, que simulan ofrecer soporte para el lenguaje Solidity, están diseñados para infectar el entorno de desarrollo Cursor, usado ampliamente por programadores de blockchain.
Este tipo de ataques aprovechan la confianza que los desarrolladores depositan en herramientas ampliamente utilizadas, como Cursor. Basado en Visual Studio Code e impulsado por inteligencia artificial generativa, Cursor ha ganado popularidad por su capacidad para agilizar y automatizar tareas de programación. Pero esa misma adopción masiva y su vinculación con repositorios abiertos lo han convertido en un objetivo atractivo para los ciberdelincuentes.
Para lograr su objetivo, los atacantes publican extensiones maliciosas que se hacen pasar por herramientas legítimas dentro del repositorio de Cursor. Al instalar estas extensiones fraudulentas, en lugar de obtener funcionalidades reales, los usuarios descargan y ejecutan malware en sus dispositivos.
Durante la respuesta frente a un incidente, un desarrollador de blockchain en Rusia contactó con Kaspersky después de instalar una de estas extensiones falsas en su equipo, lo que permitió a los ciberdelincuentes robar criptomonedas por un valor aproximado de 500.000 dólares.
El ciberdelincuente logró engañar al desarrollador haciendo que su paquete malicioso apareciera con una clasificación superior a la del paquete legítimo. Para lograrlo, infló artificialmente el número de descargas de su paquete, alcanzando las 54.000.
Al instalar la extensión, la víctima no obtiene ninguna funcionalidad real. En su lugar, se instala silenciosamente el malware ScreenConnect, que permite a los atacantes acceder de forma remota al dispositivo comprometido. Con este acceso, despliegan el backdoor de código abierto Quasar, junto con un stealer diseñado para recolectar información sensible de navegadores web, clientes de correo electrónico y billeteras de criptomonedas. Mediante estas herramientas, los atacantes logran capturar las frases de recuperación de las billeteras del desarrollador y, finalmente, robar los fondos almacenados en ellas.
Tras ser detectada y eliminada del repositorio, la extensión maliciosa fue republicada por el atacante, quien volvió a inflar artificialmente su número de descargas, alcanzando los 2 millones, en contraste con las 61.000 del paquete legítimo. Kaspersky ya ha informado sobre esta extensión para que sea retirada de la plataforma.
“Detectar los paquetes de código abierto comprometidos de inmediato se vuelve cada vez más desafiante. Los ciberdelincuentes utilizan tácticas cada vez más sofisticadas para desorientar incluso a desarrolladores con un amplio conocimiento en ciberseguridad, especialmente aquellos que trabajan en el desarrollo blockchain. Dado que se espera que los ciberdelincuentes sigan atacando a los desarrolladores, se recomienda que incluso los profesionales de TI con experiencia implementen soluciones de seguridad para proteger datos sensibles y evitar pérdidas financieras”, afirma Georgy Kucherin, investigador de seguridad del Equipo de Investigación y Análisis Global de Kaspersky.
El ciberdelincuente no solo publicó extensiones maliciosas para Solidity, sino también otro paquete NPM llamado “solsafe”, que también descarga ScreenConnect. Unos meses antes se habían lanzado tres extensiones falsas para Visual Studio Code; “solaibot”, “among-eth” y “blankebesxstnion”, las cuales ya han sido eliminadas del repositorio.
Más información disponible del caso en este artículo de Securelist.
Los expertos de Kaspersky recomiendan las siguientes medidas para evitar caer en este tipo de estafas:
Utilizar una solución para supervisar los componentes de código abierto utilizados, con el fin de identificar posibles ciberamenazas ocultas en ellos.
Si se sospecha que un ciberdelincuente ha accedido a la infraestructura de la empresa, se recomienda utilizar Kaspersky Compromise Assessment para detectar cualquier ataque previo o en curso.
Verificar la fiabilidad del responsable del paquete: compruebe la credibilidad del responsable o la organización responsable del paquete. Busque un historial de versiones consistente, documentación adecuada y un sistema activo de gestión de incidencias.
Mantenerse informado sobre las amenazas emergentes: suscribirse a boletines y avisos de seguridad relacionados con el ecosistema de código abierto. Cuanto antes se conoce una ciberamenaza, más rápido se puede responder.
