威脅組織 WhiteCobra 通過在 Visual Studio 應(yīng)用商店和 Open VSX 注冊表中植入 24 款惡意擴展程序，針對 VSCode、Cursor 和 Windsurf 代碼編輯器用戶發(fā)起攻擊。

目前該攻擊活動仍在持續(xù)——每當(dāng)平臺移除惡意擴展，攻擊者就會立即上傳新的惡意代碼取而代之。

以太坊核心開發(fā)者 Zak Cole 在公開帖子中表示，他在使用一款看似合法的 Cursor 編輯器擴展程序（contractshark.solidity-lang）后，加密貨幣錢包遭到清空。 Cole 指出，這款擴展程序具備所有 " 正常產(chǎn)品 " 的特征：專業(yè)設(shè)計的圖標(biāo)、詳細(xì)的功能說明，且在 Cursor 官方注冊表 OpenVSX 上的下載量達(dá) 5.4 萬次。

終端安全服務(wù)商 Koi 的研究人員稱，WhiteCobra 正是今年 7 月通過偽造 Cursor 編輯器擴展程序竊取 50 萬美元加密貨幣的同一組織。

WhiteCobra 攻擊詳情

VSCode、Cursor 和 Windsurf 均為支持 VSIX 格式擴展程序的代碼編輯器—— VSIX 是 VS Code 應(yīng)用商店和 Open VSX 平臺上擴展程序的默認(rèn)打包格式。

這種跨平臺兼容性，加之上述平臺對擴展程序提交缺乏嚴(yán)格的審核機制，使其成為攻擊者理想的攻擊載體，能夠?qū)崿F(xiàn)大范圍影響。

據(jù) Koi 安全團隊分析，WhiteCobra 打造的惡意 VSIX 擴展程序偽裝性極強：不僅精心撰寫功能描述，還偽造了高額下載量，以此騙取用戶信任。

該團隊發(fā)現(xiàn)，以下擴展程序?qū)儆?WhiteCobra 最新攻擊活動的一部分：

Open-VSX 平臺（適用于 Cursor/Windsurf）

1.ChainDevTools.solidity-pro

2.kilocode-ai.kilo-code

3.nomic-fdn.hardhat-solidity

4.oxc-vscode.oxc

5.juan-blanco.solidity

6.kineticsquid.solidity-ethereum-vsc

7.ETHFoundry.solidityethereum

8.JuanFBlanco.solidity-ai-ethereum

9.Ethereum.solidity-ethereum

10.juan-blanco.solidity

11.NomicFdn.hardhat-solidity

12.juan-blanco.vscode-solidity

13.nomic-foundation.hardhat-solidity

14.nomic-fdn.solidity-hardhat

15.Crypto-Extensions.solidity

16.Crypto-Extensions.SnowShsoNo

VS Code 應(yīng)用商店

1.JuanFBlanco.awswhh

2.ETHFoundry.etherfoundrys

3.EllisonBrett.givingblankies

4.MarcusLockwood.wgbk

5.VitalikButerin-EthFoundation.blan-co

6.ShowSnowcrypto.SnowShoNo

7.Crypto-Extensions.SnowShsoNo

8.Rojo.rojo-roblox-vscode

惡意代碼執(zhí)行流程與危害

研究人員表示，錢包被盜的攻擊流程始于惡意擴展程序的主文件（extension.js）——該文件 " 與 VSCode 擴展模板自帶的‘ Hello World ’基礎(chǔ)代碼幾乎完全一致 "，極具迷惑性。

但其中隱藏著一段簡單的調(diào)用代碼，會將執(zhí)行權(quán)轉(zhuǎn)移至次級腳本（prompt.js），隨后從 Cloudflare Pages 下載下一階段的惡意載荷。該載荷具備平臺針對性，分別提供適用于 Windows、ARM 架構(gòu) macOS 和 Intel 架構(gòu) macOS 的版本：

Windows 系統(tǒng)：通過 PowerShell 腳本執(zhí)行 Python 腳本，再由 Python 腳本運行外殼代碼（shellcode），最終植入 LummaStealer 惡意軟件。

LummaStealer 是一款信息竊取工具，專門針對加密貨幣錢包應(yīng)用、瀏覽器擴展程序、瀏覽器中存儲的憑據(jù)及即時通訊軟件數(shù)據(jù)發(fā)起竊取。

macOS 系統(tǒng)：惡意載荷為 Mach-O 格式的惡意二進(jìn)制文件，本地執(zhí)行后會加載一個未知家族的惡意軟件。

威脅組織運作模式與安全建議

從 WhiteCobra 的內(nèi)部操作手冊可見，該犯罪組織會設(shè)定 1 萬至 50 萬美元的營收目標(biāo)，提供命令與控制（C2）基礎(chǔ)設(shè)施搭建指南，并詳細(xì)規(guī)劃社會工程學(xué)攻擊與推廣策略。

這表明該組織運作高度有組織化，且不會因攻擊曝光或擴展被下架而退縮。Koi 安全團隊指出，WhiteCobra 僅需不到 3 小時就能部署新一輪攻擊活動。

研究人員表示，當(dāng)前擴展程序倉庫亟需更完善的驗證機制，以區(qū)分惡意擴展與合法擴展——因為評分、下載量和評論均可能被篡改，用于騙取用戶信任。

針對代碼編輯器擴展程序的下載，研究人員給出以下建議：

1. 仔細(xì)核查是否存在仿冒知名開發(fā)者或如相似名稱混淆視聽的情況；

2. 優(yōu)先選擇知名度高、信任記錄良好的項目；

3. 對短期內(nèi)突然獲得大量下載量和正面評價的新項目保持警惕。