По данным аналитиков
, хак-группа WhiteCobra атаковала пользователей VSCode, Cursor и Windsurf, разместив в магазине Visual Studio и реестре Open VSX 24 вредоносных расширения.
Вредоносная кампания по-прежнему активна, так как атакующие загружают новую малварь взамен удаляемых расширений.
В прошлом месяце разработчик Ethereum Зак Коул (Zak Cole) , что его кошелек был опустошен после использования расширения contractshark.solidity-lang для редактора кода Cursor. Коул писал, что расширение выглядело абсолютно безвредным: имело профессионально оформленную иконку, подробное описание и насчитывало около 54 000 скачиваний в OpenVSX.
Специалисты Koi Security сообщают, что эта атака, как и многие другие, связана с группировкой WhiteCobra. Только в июле 2025 года эта группа на сумму более 500 000 долларов США, используя для атак вредоносное расширение для Cursor AI.
VS (Visual Studio) Code, Cursor и Windsurf представляют собой редакторы кода, поддерживающие расширения VSIX — стандартный формат пакетов для расширений, публикуемых в VS Code Marketplace и на платформе OpenVSX.
По данным Koi Security, группировка WhiteCobra создает вредоносные VSIX-расширения, которые кажутся легитимными благодаря тщательно подготовленным описаниям и искусственно завышенному количеству скачиваний.
Исследователи сообщают, что в новейшей кампании WhiteCobra были задействованы следующие расширения:
Open-VSX (Cursor/Windsurf)
Однако файл содержит простой вызов, который передает выполнение вторичному скрипту (prompt.js), после чего полезная нагрузка следующего этапа загружается с Cloudflare Pages. Нагрузка специфична для платформы — доступны версии для Windows, macOS на ARM и macOS на Intel.
В Windows PowerShell-скрипт выполняет Python-скрипт, который, в свою очередь, выполняет шеллкод для запуска стилера Lumma. Вредонос нацелен на хищение данных из приложений криптокошельков, веб-расширений, учетные данные, хранящиеся в браузерах, а также данные мессенджеров.
В macOS пейлоадом является вредоносный бинарник Mach-O, который выполняется локально для загрузки неизвестного семейства малвари.
Согласно попавшему в руки исследователей внутреннему руководству WhiteCobra, хакеры определяют целевую прибыль в диапазоне от 10 000 до 500 000 долларов США, предоставляют инструкции по настройке управляющей инфраструктуры, а также описывают возможные стратегии социальной инженерии и маркетингового продвижения.
В связи с этим эксперты предупреждают, что группировка действует организованно и не останавливается после обнаружений и блокировок. Так, аналитики наблюдали, что WhiteCobra способна развернуть новую вредоносную кампанию менее чем за три часа после блокировки предыдущей.
Исследователи подчеркивают, что для борьбы с такими угрозами необходимы более надежные механизмы верификации для выявления вредоносных расширений в репозиториях, поскольку рейтингами, количеством скачиваний и отзывами можно манипулировать.
Вредоносная кампания по-прежнему активна, так как атакующие загружают новую малварь взамен удаляемых расширений.
В прошлом месяце разработчик Ethereum Зак Коул (Zak Cole) , что его кошелек был опустошен после использования расширения contractshark.solidity-lang для редактора кода Cursor. Коул писал, что расширение выглядело абсолютно безвредным: имело профессионально оформленную иконку, подробное описание и насчитывало около 54 000 скачиваний в OpenVSX.
Специалисты Koi Security сообщают, что эта атака, как и многие другие, связана с группировкой WhiteCobra. Только в июле 2025 года эта группа на сумму более 500 000 долларов США, используя для атак вредоносное расширение для Cursor AI.
VS (Visual Studio) Code, Cursor и Windsurf представляют собой редакторы кода, поддерживающие расширения VSIX — стандартный формат пакетов для расширений, публикуемых в VS Code Marketplace и на платформе OpenVSX.
По данным Koi Security, группировка WhiteCobra создает вредоносные VSIX-расширения, которые кажутся легитимными благодаря тщательно подготовленным описаниям и искусственно завышенному количеству скачиваний.
Исследователи сообщают, что в новейшей кампании WhiteCobra были задействованы следующие расширения:
Open-VSX (Cursor/Windsurf)
- solidity-pro
- kilocode-ai.kilo-code
- nomic-fdn.hardhat-solidity
- oxc-vscode.oxc
- juan-blanco.solidity
- solidity-ethereum-vsc
- solidityethereum
- solidity-ai-ethereum
- solidity-ethereum
- juan-blanco.solidity
- hardhat-solidity
- juan-blanco.vscode-solidity
- nomic-foundation.hardhat-solidity
- nomic-fdn.solidity-hardhat
- Crypto-Extensions.solidity
- Crypto-Extensions.SnowShsoNo
- awswhh
- etherfoundrys
- givingblankies
- wgbk
- VitalikButerin-EthFoundation.blan-co
- SnowShoNo
- Crypto-Extensions.SnowShsoNo
- rojo-roblox-vscode
Однако файл содержит простой вызов, который передает выполнение вторичному скрипту (prompt.js), после чего полезная нагрузка следующего этапа загружается с Cloudflare Pages. Нагрузка специфична для платформы — доступны версии для Windows, macOS на ARM и macOS на Intel.
В Windows PowerShell-скрипт выполняет Python-скрипт, который, в свою очередь, выполняет шеллкод для запуска стилера Lumma. Вредонос нацелен на хищение данных из приложений криптокошельков, веб-расширений, учетные данные, хранящиеся в браузерах, а также данные мессенджеров.
В macOS пейлоадом является вредоносный бинарник Mach-O, который выполняется локально для загрузки неизвестного семейства малвари.
Согласно попавшему в руки исследователей внутреннему руководству WhiteCobra, хакеры определяют целевую прибыль в диапазоне от 10 000 до 500 000 долларов США, предоставляют инструкции по настройке управляющей инфраструктуры, а также описывают возможные стратегии социальной инженерии и маркетингового продвижения.
В связи с этим эксперты предупреждают, что группировка действует организованно и не останавливается после обнаружений и блокировок. Так, аналитики наблюдали, что WhiteCobra способна развернуть новую вредоносную кампанию менее чем за три часа после блокировки предыдущей.
Исследователи подчеркивают, что для борьбы с такими угрозами необходимы более надежные механизмы верификации для выявления вредоносных расширений в репозиториях, поскольку рейтингами, количеством скачиваний и отзывами можно манипулировать.
