Seorang pembangun blockchain Rusia kehilangan kira-kira 500,000 dolar Amerika dalam mata wang kripto selepas memasang apa yang kelihatan seperti sambungan penyerlahan sintaks Solidity yang sah untuk Visual Studio Code. Insiden ini menyerlahkan kelemahan keselamatan kritikal dalam cara pembangun mempercayai dan memasang sambungan kod, terutamanya dalam persekitaran pembangunan berkuasa AI seperti Cursor yang bergantung pada pasaran sambungan pihak ketiga.
Serangan bermula apabila pembangun memuat turun sambungan berniat jahat yang dipanggil astexplorer.js dari pendaftaran Open VSX, yang menyediakan sambungan kepada garpu VSCode termasuk Cursor AI. Walaupun berhati-hati dengan keselamatan dan menggunakan perisian antivirus, pembangun tersebut menjadi mangsa serangan rantaian bekalan yang canggih yang mengeksploitasi algoritma kedudukan pasaran sambungan.
Vektor Serangan Teknikal:
- Fail hasad:
astexplorer.jsterletak di%UserProfile%\AppData\Local\temp - Memuat turun skrip PowerShell daripada
img[.]yt-lu[.]xyz/install[.]ps1 - Memasang perisian akses jauh ScreenConnect
- Menggunakan perisian hasad pencuri dompet mata wang kripto yang menyasarkan MetaMask dan fail dompet tempatan
 |
|---|
| Seorang penggodam dalam persekitaran digital, menggambarkan kelemahan keselamatan yang membawa kepada kecurian mata wang kripto yang besar |
Manipulasi Algoritma Kedudukan Membolehkan Penipuan
Penyerang berjaya memanipulasi sistem kedudukan carian Open VSX untuk menjadikan sambungan berniat jahat mereka kelihatan lebih tinggi dalam hasil carian berbanding versi yang sah. Walaupun sambungan palsu mempunyai muat turun yang lebih sedikit (144,000+ berbanding 151,000+ untuk yang sah), ia menduduki tempat lebih tinggi disebabkan beberapa faktor termasuk kemas kini yang lebih terkini dan pengoptimuman kata kunci. Versi berniat jahat terakhir dikemas kini pada 18 Jun 2021, manakala sambungan yang sah tidak dikemas kini sejak 30 Mei 2020. Kecenderungan kepada yang terkini dalam algoritma kedudukan ini membantu sambungan palsu mendapat keterlihatan di kalangan pembangun yang tidak curiga.
Sambungan yang menipu tidak sebenarnya menyediakan sebarang fungsi penyerlahan sintaks, tetapi ramai pengguna mungkin tidak menyedari kegagalan ini sementara perisian hasad senyap-senyap dilaksanakan di latar belakang.
Garis Masa Serangan:
- Jun 2021: Sambungan berniat jahat dimuat naik ke pendaftaran Open VSX
- Sambungan memperoleh 144,000+ muat turun sebelum dikesan
- 2 Julai 2021: Sambungan dikeluarkan daripada pasaran
- Penyerang segera mengeluarkan sambungan berniat jahat baharu pada hari berikutnya
 |
|---|
| Dua pembangun bekerjasama di hadapan komputer, menonjolkan sifat kolaboratif pengaturcaraan di tengah-tengah risiko keselamatan tersembunyi |
Kebenaran Sambungan Tanpa Had Mewujudkan Risiko Keselamatan
Serangan berjaya kerana sambungan VSCode beroperasi tanpa sekatan keselamatan yang bermakna atau sandboxing. Sambungan mewarisi semua kebenaran yang sudah dimiliki oleh editor hos, membolehkan mereka mengakses keseluruhan sistem fail, melaksanakan arahan sistem, dan memuat turun perisian hasad tambahan. Model akses tanpa had ini bermakna mana-mana sambungan berniat jahat berpotensi menjejaskan keseluruhan persekitaran pembangunan.
Sambungan berniat jahat memuat turun dan melaksanakan skrip PowerShell yang memasang alat akses jauh seperti ScreenConnect, memberikan penyerang kawalan penuh ke atas mesin mangsa. Dari situ, mereka menggunakan perisian hasad pencuri dompet mata wang kripto yang menyasarkan dompet berasaskan pelayar seperti MetaMask dan fail dompet tempatan.
 |
|---|
| Kemajuan dalam teknologi, yang digambarkan di sini, menekankan kepentingan langkah keselamatan terhadap potensi ancaman perisian hasad dalam persekitaran pembangunan |
Pasaran Sambungan Sumber Terbuka Kekurangan Pengawasan Keselamatan
Insiden ini mendedahkan jurang keselamatan yang ketara dalam Open VSX, pasaran sambungan yang dikendalikan sukarelawan yang digunakan oleh alternatif VSCode seperti Cursor AI. Tidak seperti pasaran VSCode rasmi Microsoft, yang mempunyai pasukan keselamatan khusus dan sistem pengesanan automatik, Open VSX beroperasi dengan sumber terhad dan proses tapisan yang minimum.
Mengambil kesempatan (dan menyalahkan) infrastruktur sukarelawan adalah tidak bertanggungjawab, terutamanya apabila anda mempunyai begitu banyak pembiayaan.
Ini mewujudkan situasi yang membimbangkan di mana syarikat berbilion dolar seperti Cursor AI (yang mengumpul 900 juta dolar Amerika) bergantung pada infrastruktur yang diselenggara sukarelawan untuk fungsi keselamatan kritikal. Eclipse Foundation, yang mengawasi Open VSX, kekurangan sumber untuk melaksanakan langkah keselamatan komprehensif yang setanding dengan alternatif komersial.
Perbandingan Keselamatan:
- Microsoft VSCode Marketplace: Pasukan keselamatan khusus, pengesanan automatik, mendakwa masa respons 2 saat untuk sambungan berniat jahat
- Open VSX Registry: Dikendalikan secara sukarela oleh Eclipse Foundation , sumber keselamatan terhad, proses pemeriksaan yang minimum
- Kebenaran Sambungan: Kedua-dua pasaran membenarkan akses tanpa had kepada sistem fail dan rangkaian untuk sambungan
Amalan Pembangun Memerlukan Perubahan Asas
Kecurian mata wang kripto ini menimbulkan persoalan penting tentang amalan keselamatan pembangunan. Ramai pembangun secara rutin memasang sambungan, pakej npm, dan kod pihak ketiga lain tanpa semakan keselamatan yang teliti. Mangsa dalam kes ini membangun pada mesin yang sama di mana dia menyimpan pegangan mata wang kripto yang ketara, mewujudkan situasi berisiko tinggi yang tidak perlu.
Pakar keselamatan mengesyorkan penggunaan dompet perkakasan untuk penyimpanan mata wang kripto, membangun dalam bekas atau mesin maya yang terpencil, dan menapis dengan teliti semua sambungan yang dipasang. Sesetengah pembangun mengamalkan pendekatan yang lebih berhati-hati, termasuk menjalankan persekitaran pembangunan dalam bekas Docker dengan akses sistem fail yang terhad.
Insiden ini berfungsi sebagai peringatan keras bahawa ekosistem pembangunan perisian moden sangat bergantung pada hubungan kepercayaan dengan ribuan pakej dan sambungan pihak ketiga. Apabila serangan rantaian bekalan menjadi lebih canggih, pembangun dan syarikat yang membina alat pembangunan mesti mengutamakan langkah keselamatan yang sepadan dengan skala risiko ini.