Link to original video by Java Brains

This Developer Lost $500,000 While Coding in Cursor - I Explain Why

Tóm tắt ngắn:

• Video kể về trường hợp một lập trình viên blockchain bị mất 500.000 đô la do mã độc ẩn trong tiện ích mở rộng (extension) của trình soạn thảo mã Cursor (một nhánh của VS Code).
• Điểm mấu chốt là mã độc được cài đặt thông qua một tiện ích mở rộng Solidity giả mạo trên thị trường Open VSX, được sử dụng bởi Cursor thay vì Microsoft Marketplace. Kẻ tấn công đã lợi dụng thuật toán xếp hạng của Open VSX, số lượt tải xuống giả mạo, và sự giống nhau giữa tiện ích mở rộng giả và thật để đánh lừa người dùng. Screen Connect được sử dụng để truy cập từ xa vào máy tính nạn nhân.
• Video nhấn mạnh rủi ro bảo mật khi sử dụng tiện ích mở rộng IDE, đặc biệt là những tiện ích mở rộng không được kiểm duyệt chặt chẽ, và sự cần thiết phải cẩn trọng hơn khi cài đặt tiện ích mở rộng từ các thị trường mở.
• Video đề cập chi tiết quá trình điều tra của Casperski, phân tích mã độc, và cách thức hoạt động của mã độc. Các phương pháp bảo vệ được đề xuất bao gồm sử dụng VS Code chính thức để kiểm tra tiện ích mở rộng trước khi cài đặt vào Cursor, kiểm tra kỹ tiện ích mở rộng trước khi cài đặt, và phân chia môi trường làm việc.

Tóm tắt chi tiết:

Video được chia thành các phần chính sau:

Phần 1: Giới thiệu vụ việc: Một lập trình viên blockchain mất 500.000 đô la do mã độc. Máy tính của anh ta được cài đặt lại Windows sạch, không có dấu hiệu truy cập vào các trang web đáng ngờ. Sự việc gây hoang mang vì không có dấu hiệu rõ ràng nào về sự xâm nhập.

Phần 2: Điều tra của Casperski: Công ty an ninh mạng Casperski tìm thấy mã độc trong tệp extension.js của tiện ích mở rộng Solidity trong Cursor. Mã độc này tải xuống và thực thi một tập lệnh PowerShell từ angelic.su, cài đặt Screen Connect để truy cập từ xa vào máy tính nạn nhân và tải thêm phần mềm độc hại.

Phần 3: Nguồn gốc mã độc: Mã độc nằm trong tiện ích mở rộng Solidity giả mạo trên thị trường Open VSX của Cursor. Kẻ tấn công đã sao chép mô tả từ tiện ích mở rộng hợp pháp và lợi dụng thuật toán xếp hạng của Open VSX (dựa trên ngày cập nhật, số lượt tải xuống, v.v.) để đẩy tiện ích mở rộng giả mạo lên vị trí cao trong kết quả tìm kiếm. Họ thậm chí còn tạo ra một phiên bản khác với số lượt tải xuống giả mạo lên đến 2 triệu.

Phần 4: Rủi ro bảo mật của tiện ích mở rộng IDE: Video giải thích tại sao tiện ích mở rộng IDE lại nguy hiểm. Chúng cần quyền truy cập cấp hệ thống để hoạt động, không chạy trong môi trường sandbox như tiện ích mở rộng trình duyệt. Chỉ cần vài dòng JavaScript, kẻ tấn công có thể thực thi mã độc hại trên hệ thống.

Phần 5: Sự khác biệt giữa Microsoft Marketplace và Open VSX: Video nhấn mạnh sự khác biệt giữa Microsoft Marketplace (được kiểm duyệt chặt chẽ) và Open VSX (mở, ít kiểm duyệt hơn). Cursor, là một nhánh của VS Code, sử dụng Open VSX, tạo ra lỗ hổng bảo mật.

Phần 6: Các biện pháp bảo vệ: Video đề xuất các biện pháp bảo vệ như:

• Cài đặt cả VS Code chính thức và Cursor, cài đặt tiện ích mở rộng trên VS Code trước rồi mới chuyển sang Cursor.
• Kiểm tra kỹ tiện ích mở rộng trước khi cài đặt, gỡ bỏ ngay nếu không hoạt động như quảng cáo.
• Kiểm tra nhà phát hành tiện ích mở rộng.
• Tránh cài đặt các tiện ích mở rộng mới, chờ đợi phản hồi từ cộng đồng.
• Phân chia môi trường làm việc, sử dụng thiết lập tối thiểu khi làm việc với thông tin nhạy cảm.

Phần 7: Kết luận: Video kết luận rằng sự tin tưởng vào phần mềm nguồn mở cần được cân nhắc kỹ lưỡng, và các cuộc tấn công sẽ ngày càng tinh vi hơn. Cần cẩn trọng nhưng không nên để nỗi sợ hãi ngăn cản việc phát triển phần mềm. "Hãy luôn cập nhật thông tin, thận trọng nhưng đừng để nỗi sợ hãi ngăn cản bạn xây dựng những điều tuyệt vời." là một câu nói đáng chú ý trong phần kết.