В последние несколько лет редакторы кода, такие как Visual Studio Code, Cursor и Windsurf, стали неотъемлемой частью жизни миллионов разработчиков по всему миру. Они предоставляют удобные инструменты и возможности расширения функционала через плагины и дополнительные модули, которые значительно повышают продуктивность и упрощают рабочие процессы. Однако именно эта открытость и гибкость привлекли внимание киберпреступников, использующих расширения VSIX в своих злонамеренных целях. Одной из самых известных и опасных группировок, активно эксплуатирующих данный вектор атаки, является WhiteCobra. По данным аналитиков Koi Security, данная хакерская группа разработала целую сеть вредоносных расширений, размещённых в популярных магазинах расширений Visual Studio Marketplace и Open VSX, которые позволяют похищать криптовалюту пользователей.
Столь масштабная и зачастую незаметная кампания WhiteCobra демонстрирует, насколько уязвимой может быть экосистема расширений в крупных платформах. Специалисты отмечают, что в июле 2025 года лишь за один месяц эта группировка украла более полумиллиона долларов США в криптовалюте, используя вредоносное расширение для Cursor AI. Механизм атаки выглядит следующим образом: под видом легитимных и профессионально оформленных расширений с привлекательными описаниями и высоким количеством скачиваний злоумышленники распространяют вредоносный софт. Один из примеров - расширение contractshark.solidity-lang, предназначенное для языка программирования Solidity, которое усыпило бдительность даже опытного разработчика Ethereum Зака Коула, потерявшего с его помощью значительную сумму криптовалюты.
Основной вредоносный код обычно прячется в файловой структуре расширения. Первоначальный скрипт extension.js практически не отличается от шаблона "Hello World", что позволяет пройти базовую автоматическую проверку в магазинах. Однако его главная функция - передавать управление более опасному скрипту prompt.js, загружающему полезную нагрузку с облачного сервиса Cloudflare Pages, что делает вредоносную активность динамичной и сложной для отслеживания.
Особое внимание стоит уделить тому, что вредоносная полезная нагрузка сконструирована с учётом целевой платформы, будь то Windows, macOS под архитектуру ARM или Intel. На Windows PowerShell вызывает Python скрипт, который в свою очередь запускает шеллкод, устанавливающий стилер Lumma. Этот стилер предназначен для кражи данных из криптовалютных кошельков, браузерных расширений и даже мессенджеров, снабжая злоумышленников всей необходимой информацией для похищения капиталов. В macOS вредоносным компонентом является бинарник Mach-O, загружающий дополнительные модули, относящиеся к неизвестному семейству вредоносного ПО. Внутренние инструкции группировки WhiteCobra, попавшие в руки исследователей, раскрывают не только технические аспекты атак, но и организационные моменты.
Злоумышленники ставят перед собой цель добычи от десяти тысяч до пятисот тысяч долларов США с каждой кампании, подробно описывают настройку инфраструктуры управления вредоносным ПО, а также практикуют методы социальной инженерии и манипуляции с маркетингом, чтобы продвигать вредоносные расширения под видом надежных и востребованных продуктов. Несмотря на многочисленные выявления и блокировки, атакующие не останавливаются и быстро запускают новые кампании, порой всего за несколько часов после удаления предыдущих опасных расширений. Такой уровень организованности и технической подготовки делает WhiteCobra одной из самых опасных современных киберугроз для сообщества разработчиков и пользователей криптовалют. Для противодействия таким угрозам исследователи настоятельно рекомендуют существенно ужесточить процедуры верификации расширений в магазинах, ведь статистика по скачиваниям, отзывы и оценки легко могут быть подделаны злоумышленниками. Автоматические сканеры должны учитываться с более глубоким анализом поведения кода, а пользователи - проявлять осторожность при установке новых и малоизвестных дополнений, особенно если эти расширения запрашивают доступ к чувствительным данным или ресурсам.
Также рекомендуется использовать специальные антивирусные и антишпионские решения, способные выявлять аномалии в работе программ и предупреждать пользователей о потенциальной опасности. Регулярное обновление операционных систем и приложений снижает риск успешного проникновения и эксплуатации уязвимостей, используемых вредоносным ПО. Важное значение имеет и программная гигиена самих пользователей. Рекомендуется проверять источники расширений, пользоваться рекомендованными и проверенными поставщиками, внимательно читать отзывы и комментарии в специализированных сообществах. При работе с криптовалютами полезно ограничить использование расширений, не связанных с проверенными сервисами, а личные ключи хранить в аппаратных кошельках или управляющих программных комплексах с высоким уровнем безопасности.
Современный ландшафт информационной безопасности требует постоянного мониторинга, обмена знаниями и сотрудничества между разработчиками, экспертами и пользователями. Учитывая растущую популярность криптовалют и открытость платформ для расширений, только комплексный подход и системные меры способны минимизировать риски, которые несут в себе такие группировки, как WhiteCobra. Эта ситуация служит важным напоминанием о том, как киберпреступники изощряются и используют новые технические возможности для нанесения вреда. Внимательность, подготовленность и применение современных средств защиты помогут разработчикам и пользователям сохранить свои цифровые активы и безопасность в условиях постоянно меняющегося технологического мира. .
