WhiteCobraと名付けられた脅威行為者は、Visual StudioマーケットプレイスとOpen VSXレジストリに24の悪意のある拡張機能を仕込むことで、VSCode、Cursor、Windsurfユーザーを標的としています。
このキャンペーンは、脅威行為者が削除された拡張機能を置き換えるために新しい悪意のあるコードを継続的にアップロードしているため、進行中です。
イーサリアムのコア開発者であるZak Cole氏は、Cursorコードエディタ用の一見正当な拡張機能(contractshark.solidity-lang)を使用した後、彼のウォレットがどのように流出したかを公開投稿で説明している。
.png)
Cole氏は、この拡張機能には、プロがデザインしたアイコン、詳細な説明、Cursorの公式レジストリであるOpenVSXでの54,000のダウンロードなど、良質の製品であることを示すすべての兆候があったと説明している。
エンドポイント・セキュリティ・プロバイダーKoiの研究者によると、WhiteCobraは7月にCursorエディタの偽拡張機能を使って50万ドルの暗号窃盗を行ったグループと同じだという。
WhiteCobraの攻撃
VS (Visual Studio) Code、Cursor、Windsurfは、VSIXエクステンション(VS Code MarketplaceやOpenVSXプラットフォームで公開されているエクステンションのデフォルトのパッケージ形式)をサポートするコードエディタです。
このような相互互換性と、これらのプラットフォームでの適切な提出レビューの欠如は、広範なリーチを持つキャンペーンを実行しようとする攻撃者にとって理想的です。
Koi Securityによると、WhiteCobraは悪意のあるVSIX拡張機能を作成しますが、全体的に注意深く作成された説明文と膨れ上がったダウンロード数により、合法的に見えます。
Koi Securityは、以下の拡張機能が最新のWhiteCobraキャンペーンの一部であることを発見しました:
Open-VSX (Cursor/Windsurf)
- ChainDevTools.solidity-pro
- kilocode-ai.kilo-code
- nomic-fdn.hardhat-solidity
- oxc-vscode.oxc
- juan-blanco.ソリディティ
- kineticsquid.solidity-ethereum-vsc
- ETHFoundry.solidityethereum
- JuanFBlanco.solidity-ai-イーサリアム
- イーサリアム.solidity-イーサリアム
- JuanFBlanco.solidity-イーサリアム
- NomicFdn.hardhat-solidity(ハードハット-ソリディティ
- juan-blanco.vscode-solidity(英語
- nomic-foundation.hardhat-solidity(ノミックファウンデーション.ハードハットソリディティ
- nomic-fdn.solidity-ハードハット
- 暗号拡張.solidity
- 暗号拡張.SnowShsoNo
VSコード・マーケットプレイス
- JuanFBlanco.awswhh
- ETHFoundry.etherfoundrys
- EllisonBrett.givingblankies
- MarcusLockwood.wgbk
- VitalikButerin-EthFoundation.blan-co
- ShowSnow暗号.SnowShoNo
- 暗号拡張.SnowShsoNo
- ロホ.rojo-roblox-vscode
ソースはこちら:Koi Security
財布の流出は、「すべてのVSCode拡張機能テンプレートに付属するデフォルトの “Hello World “定型文とほぼ同じ」メインファイル(extension.js)の実行から始まる、と研究者は言う。
しかし、セカンダリー・スクリプト(prompt.js)に実行を委ねる単純な呼び出しがある。次の段階のペイロードは、Claudflare Pagesからダウンロードされる。このペイロードはプラットフォーム固有で、Windows、ARM上のmacOS、Intel上のmacOS用のバージョンが用意されている。
Windowsでは、PowerShellスクリプトがPythonスクリプトを実行し、LummaStealerマルウェアを実行するシェルコードを実行します。
LummaStealerは、暗号通貨ウォレットアプリ、ウェブ拡張機能、ウェブブラウザに保存された認証情報、メッセージングアプリのデータを狙う情報窃取マルウェアです。
macOSの場合、ペイロードは悪意のあるMach-Oバイナリで、ローカルで実行され、未知のマルウェア・ファミリーをロードする。
WhiteCobraの内部プレイブックによると、サイバー犯罪者は1万ドルから50万ドルの間の収益目標を定義し、コマンド・アンド・コントロール(C2)インフラのセットアップガイドを提供し、ソーシャルエンジニアリングとマーケティングプロモーション戦略を記述しています。
ソースはこちら:Koi Security
これは、脅威グループが組織的な方法で活動し、暴露やテイクダウンによって抑止されていないことを確認するものです。Koi Securityによれば、WhiteCobraは3時間以内に新しいキャンペーンを展開することができる。
研究者は、評価、ダウンロード数、およびレビューが信頼を植え付けるために操作される可能性があるため、悪意のある拡張機能とリポジトリで利用可能な正規の拡張機能を区別するために、より優れた検証メカニズムが必要であると警告している。
コーディング拡張機能をダウンロードする際の一般的な推奨事項は、なりすましやtyposquattingの試みをチェックし、信頼性の高い既知のプロジェクトのみを使用するようにすることである。一般的に、短時間で多くのダウンロード数と肯定的なレビューを集めた新しいプロジェクトは疑ったほうがよいでしょう。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加
46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。
今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。
Comments