Kaspersky: scoperto furto di 500.000 dollari in criptovalute tramite pacchetti dannosi indirizzati agli utenti Cursor AI

Kaspersky: scoperto furto di 500.000 dollari in criptovalute tramite pacchetti dannosi indirizzati agli utenti Cursor AI

Gli esperti del Kaspersky GReAT (Global Research and Analysis Team) hanno individuato dei pacchetti open-source in grado di scaricare la backdoor Quasar e uno stealer sviluppato per sottrarre criptovalute. I pacchetti dannosi erano rivolti al sistema di sviluppo Cursor AI, basato su Visual Studio Code, un tool utilizzato per la programmazione assistita dall’intelligenza artificiale.

I pacchetti open-source dannosi sono estensioni registrate nell’archivio di Open VSX che sostengono di fornire il supporto per il codice di programmazione Solidity. In pratica, però, trasferiscono ed eseguono il codice dannoso sui dispositivi degli utenti.

Analisi dettagliata dell’estensione nell’archivio Open VSX

Nel corso della risposta a un incidente, uno sviluppatore di blockchain russo ha contattato Kaspersky subito dopo aver installato una di queste estensioni dannose sul suo computer, che ha permesso agli aggressori di rubare circa 500.000 dollari di criptovalute.

L’attore dietro queste minacce è riuscito a truffare lo sviluppatore inserendo il pacchetto dannoso in una posizione più elevata rispetto a quello legittimo, aumentando artificialmente il numero di download del pacchetto infetto fino a 54.000.

Risultati della ricerca “solidity”: l’estensione dannosa (evidenziata in rosso) e quella legittima (evidenziata in verde).

Dopo l’installazione, la vittima non ha ottenuto alcuna funzionalità pratica dall’estensione. Al contrario, sul suo computer è stato installato il software dannoso ScreenConnect, che ha consentito ai cybercriminali di accedere da remoto al dispositivo infetto. In questo modo, sono riusciti a distribuire la backdoor open-source Quasar con l’aiuto di uno stealer il quale raccoglie dati presi dai browser, client email e portafogli di criptovalute. Attraverso questi strumenti, gli attori delle minacce sono riusciti a ottenere le frasi di avvio del portafoglio dello sviluppatore e successivamente di rubare criptovalute dai wallet.

Dopo che l’estensione dannosa scaricata dallo sviluppatore è stata scoperta e rimossa dal repository, l’hacker l’ha ripubblicata e ha falsato artificialmente il numero di installazioni fino a 2 milioni in più rispetto ai 61.000 del software legittimo. L’estensione è stata rimossa dalla piattaforma in seguito a una richiesta di Kaspersky.

Nuova estensione dannosa su Open VSX

“Individuare manualmente i pacchetti open-source compromessi sta diventando sempre più difficile. Gli attori delle minacce si avvalgono di tattiche sempre più creative per ingannare le potenziali vittime e anche gli sviluppatori che hanno una conoscenza solida dei rischi della cybersecurity – in particolare quelli che lavorano nel settore dello sviluppo della blockchain. Considerando che ci aspettiamo un continuo aumento di attacchi gli sviluppatori, è preferibile che anche i professionisti IT esperti implementino soluzioni specifiche per salvaguardare i dati sensibili e prevenire le perdite finanziarie”, ha commentato Georgy Kucherin, Security Researcher del Global Research and Analysis Team di Kaspersky.

Il responsabile dell’attacco ha pubblicato non solo estensioni Solidity dannose, ma anche un altro pacchetto NPM, solsafe, il quale scarica anche ScreenConnect. Qualche mese prima sono state rilasciate altre tre estensioni dannose per Visual Studio Code – solaibot, among-eth e blankebesxstnion – tutte già rimosse dal repository.

Ulteriori informazioni sono disponibili nel report pubblicato su Securelist.com.

Per rimanere al sicuro, Kaspersky consiglia di:

• Utilizzare una soluzione per il monitoraggio dei moduli open-source utilizzati, al fine di rilevare le minacce che potrebbero essere nascoste all’interno.
• Nel caso in cui si sospetta che un attore di minacce possa aver avuto accesso all’infrastruttura aziendale, si consiglia di utilizzare il servizio Kaspersky Compromise Assessment per scoprire eventuali attacchi passati o in corso.
• Controllare la credibilità del personale o dell’azienda che esegue la manutenzione dei pacchetti. Verificare che la cronologia sia coerente tra le versioni, la documentazione e attivare un issue trackerRestare aggiornati sulle minacce emergenti: iscriversi ai bollettini di sicurezza e agli avvisi relativi all’ecosistema open-source. Prima si viene a conoscenza di una minaccia, più velocemente si può rispondere.

Informazioni su Kaspersky

Kaspersky è un’azienda globale di cybersecurity e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti dalle minacce informatiche emergenti e dagli attacchi mirati, la profonda esperienza di Kaspersky in materia di sicurezza e di Threat Intelligence si trasforma costantemente in soluzioni e servizi innovativi per la sicurezza di aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. Il portfolio completo dell’azienda comprende una protezione Endpoint leader, prodotti e servizi di sicurezza specializzati e soluzioni Cyber Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo milioni di persone e oltre 200.000 aziende a proteggere ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/ 

Seguici su:

https://twitter.com/KasperskyLabIT 

http://www.facebook.com/kasperskylabitalia

https://www.linkedin.com/company/kaspersky-lab-italia

https://www.instagram.com/kasperskylabitalia/

https://t.me/KasperskyItalia