利用Solidity语言扩展的50万美元加密货币盗窃案

本文详细分析了攻击者如何通过伪造Solidity语言扩展,在Cursor AI IDE中植入恶意代码,最终窃取50万美元加密货币。涉及技术包括恶意扩展分发、PowerShell脚本执行、远程控制工具ScreenConnect及数据窃取恶意软件。

利用Solidity语言扩展的50万美元加密货币盗窃案

感染始末

2025年6月,一名俄罗斯区块链开发者遭遇网络攻击,损失约50万美元的加密资产。令人惊讶的是,受害者的操作系统仅在几天前安装,仅下载了必要和流行的应用程序。开发者虽然对网络安全风险保持警惕,但未安装商业防病毒软件。

语法高亮的陷阱

分析感染系统时,发现文件extension.js位于路径%userprofile%\.cursor\extensions\solidityai.solidity-1.0.9-universal\src\extension.js。该文件是Cursor AI IDE(基于Visual Studio Code的AI辅助开发环境)中Solidity Language扩展的组件。扩展在Open VSX注册表中发布约两个月,下载量达54,000次(可能被夸大)。扩展声称提供Solidity智能合约代码的语法高亮等功能,但分析发现所有版本均为伪造:未实现任何声称的功能,仅从web服务器angelic[.]su下载并执行恶意代码。扩展描述是从一个合法扩展页面复制而来(后者下载量为61,000次)。

扩展如何进入计算机

开发者搜索"solidity"时,恶意扩展在搜索结果中排名第四,而合法扩展排名第八。开发者选择了下载量较高的恶意扩展,落入排名算法陷阱。

排名算法陷阱

Open VSX注册表按相关性排名搜索结果,考虑因素包括扩展评分、发布时间/更新日期、总下载量和验证状态。恶意扩展的最后更新日期为2025年6月15日,合法扩展为2025年5月30日。由于综合因素,恶意扩展的相关性超过原始扩展,使其在搜索结果中排名更高。

从PowerShell脚本到远程控制

恶意扩展激活后,从https://angelic[.]su/files/1.txt下载PowerShell脚本。脚本检查是否安装ScreenConnect远程管理软件;如果未安装,则从https://angelic[.]su/files/2.txt下载第二个PowerShell脚本,后者从https://lmfao[.]su/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest下载ScreenConnect安装程序并运行。攻击者通过新安装的软件控制受感染计算机,配置为与C2服务器relay.lmfao[.]su通信。

数据窃取

攻击者使用ScreenConnect上传三个VBScript到受感染机器:

  • a.vbs
  • b.vbs
  • m.vbs

每个脚本从文本共享服务paste.ee下载PowerShell脚本(URL被混淆)。下载的PowerShell脚本然后从archive[.]org检索图像,从中提取名为VMDetector的加载器(先前在针对拉丁美洲实体的网络钓鱼活动中观察到)。加载器从paste.ee下载并运行最终有效负载。

分析确定以下有效负载被下载到受感染计算机:

  • Quasar开源后门(通过a.vbs和b.vbs)
  • 从浏览器、电子邮件客户端和加密钱包收集数据的窃取程序(通过m.vbs)。卡巴斯基产品检测为HEUR:Trojan-PSW.MSIL.PureLogs.gen

两个植入程序与C2服务器144.172.112[.]84通信(解析为relay.lmfao[.]su)。攻击者成功获取开发者钱包的密码短语并转移加密货币。

新的恶意包

恶意扩展于2025年7月2日从扩展商店移除。但攻击者继续活动:移除一天后,发布另一个名为"solidity"的恶意包,完全复制原始合法扩展的名称。功能未变:下载恶意PowerShell脚本到受害者设备。但攻击者试图大幅夸大下载量,新扩展声称下载约200万次。搜索结果中,合法和恶意扩展并列第七和第八位。开发者名称看似相同:合法包由juanblanco上传,恶意包由juanbIanco上传(Cursor AI字体使小写l和大写I看起来相同)。

类似网络攻击

攻击者还发布恶意npm包"solsafe",使用URL https://staketree[.]net/1.txt下载ScreenConnect,配置使用relay.lmfao[.]su与攻击者通信。2025年4月和5月,发布三个恶意Visual Studio Code扩展:solaibot、among-eth和blankebesxstnion。感染方法非常相似:下载名为1.txt和2.txt的PowerShell脚本;使用带混淆URL的VBScript从paste.ee下载有效负载;从archive.org下载带有效负载的图像。结论:这些感染方案正被广泛用于攻击区块链开发者。

经验教训

恶意包继续对加密行业构成重大威胁。许多项目依赖从包存储库下载的开源工具。这些存储库中的包通常是恶意软件感染的来源。建议下载任何工具时极度谨慎:始终验证所下载包不是伪造的;如果安装后包未按广告工作,应怀疑并检查下载的源代码。许多通过伪造开源包安装的恶意软件是已知的,现代网络安全解决方案可以有效阻止。即使经验丰富的开发者也必须不要忽视安全解决方案。

危害指标(IOC)

恶意JS文件哈希

2c471e265409763024cdc33579c84d88d5aaf9aea1911266b875d3b7604a0eeb
404dd413f10ccfeea23bfb00b0e403532fa8651bfb456d84b6a16953355a800a
70309bf3d2aed946bba51fc3eedb2daa3e8044b60151f0b5c1550831fbc6df17
84d4a4c6d7e55e201b20327ca2068992180d9ec08a6827faa4ff3534b96c3d6f
eb5b35057dedb235940b2c41da9e3ae0553969f1c89a16e3f66ba6f6005c6fa8
f4721f32b8d6eb856364327c21ea3c703f1787cfb4c043f87435a8876d903b2c

网络指标

https://angelic[.]su/files/1.txt
https://angelic[.]su/files/2.txt
https://staketree[.]net/1.txt
https://staketree[.]net/2.txt
https://relay.lmfao[.]su
https://lmfao[.]su/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest
144.172.112[.]84

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次