Команда Socket Threat Research Team выявила угрозу со стороны трех вредоносных npm-пакетов – sw-cur, sw-cur1 и aiide-cur, прицельно направленных на macOS-версию Cursor AI.
Описание
Эти пакеты, маскирующиеся под инструменты разработчиков и предлагающие дешевый Cursor API, в действительности похищают пользовательские учетные данные, извлекают полезную нагрузку и модифицируют файлы для создания постоянного бэкдор. Отключение автообновлений поддерживает стабильность вредоносных манипуляций.
Под псевдонимами npm gtr2018 и aiide, пакеты функционируют как бэкдоры, и на момент обнаружения уже были загружены более 3 200 раз. Эти пакеты остаются доступными в npm-реестре, что подтолкнуло команду Socket Security к официальному запросу их удаления. Угроза на цепочки поставок усиливается и злоумышленниками все чаще используются вредоносные патчи для компрометации доверенного программного обеспечения.
Исследования указывают на растущее использование вредоносных программ npm для внедрения прямых бэкдоров в разработческие инструменты, такие как IDE. Вредоносные скрипты, содержащиеся в пакетах sw-cur, sw-cur1 и aiide-cur, манипулируют учетными данными, извлекают полезные данные и модифицируют код основного файла Cursor, обеспечивая постоянный удаленный доступ к IDE. Пакеты действуют по аналогичному сценарию, хотя используют разные адреса инфраструктуры для обмена информацией и загрузки дополнительных скрытых файлов.
Сам процесс взлома приводит к отправке украденных данных на сервер C2, загрузке и расшифровке полезной нагрузки, перезаписи кода основного файла и отключения автообновлений. Вредоносные пакеты подтверждают наличие нового вектора атак на доверенное программное обеспечение, выявляя сложность защиты пользовательских IDE от подобных угроз.
Индикаторы компрометации
Domains
- aiide.xyz
- cursor.sw2031.com
- t.sw2031.com
URLs
- aiide.xyz/api/login
- cursor.sw2031.com/api/login