感染溯源

2025年6月，一位俄罗斯区块链开发者遭遇黑客攻击，损失约50万美元加密货币。受害者操作系统仅安装数天，仅下载了必要的主流应用。分析发现感染源自Cursor AI IDE中名为"Solidity Language"的恶意扩展。

带有陷阱的语法高亮

恶意扩展位于路径：

1

%userprofile%\.cursor\extensions\solidityai.solidity-1.0.9-universal\src\extension.js

该扩展声称提供Solidity智能合约语法高亮功能，但实际上会从angelic[.]su下载并执行PowerShell脚本。经核查，该扩展所有版本均为伪造，核心功能完全缺失。

扩展安装机制

• 恶意扩展在Open VSX注册表下载量显示54,000次（可能虚报）
• 开发者搜索"solidity"时，恶意扩展因算法权重（近期更新等因素）排名第4位
• 正版扩展（61,000下载量）仅排第8位
• 扩展描述完全抄袭正版项目

攻击技术链

1. 扩展激活后下载初始PowerShell脚本（1.txt）
2. 脚本检测并安装ScreenConnect远程管理软件
3. 连接C2服务器：relay.lmfao[.]su
4. 通过VBScript下载三阶段载荷：
   • 从paste.ee获取混淆URL
   • 从archive[.]org下载VMDetector加载器
   • 最终投放Quasar后门和PureLogs窃密程序

技术指标

恶意JS文件哈希：

1
2
3

2c471e265409763024cdc33579c84d88d5aaf9aea1911266b875d3b7604a0eeb
404dd413f10ccfeea23bfb00b0e403532fa8651bfb456d84b6a16953355a800a
...

网络IoC：

1
2
3

https://angelic[.]su/files/1.txt
https://relay.lmfao[.]su
144.172.112[.]84

防御建议

1. 安装商业级安全解决方案
2. 验证开源包真实性（作者、下载量、功能实现）
3. 警惕异常行为（如声称功能未实现）
4. 使用Kaspersky开源威胁情报订阅服务