Cursor на Маке взломали через вредоносные пакеты NPM
Исследователи кибербезопасности обнаружили три вредоносных npm-пакета, специально нацеленных на macOS-версию Cursor — популярного AI-редактора кода.
Технические детали атаки:
• Пакеты маскировались под "самый дешевый Cursor API"
• Похищали учетные данные пользователей
• Загружали зашифрованный вредоносный код с серверов атакующих
• Перезаписывали файл main.js редактора Cursor
• Отключали автообновления для сохранения доступа
Затронутые пакеты:
• sw-cur (2,771 загрузок)
• sw-cur1 (307 загрузок)
• aiide-cur (163 загрузки)
Особенность атаки — техника компрометации через патчи, которая:
• Модифицирует легитимное ПО, уже установленное на компьютере разработчика
• Сохраняет вредоносный код даже после удаления npm-пакета
• Наследует доверие и привилегии оригинального приложения
Практическая защита:
• Проверяйте пакеты на наличие подозрительных postinstall-скриптов
• Отслеживайте модификации файлов за пределами node_modules
• Блокируйте неожиданные сетевые соединения
• Используйте строгую фиксацию версий зависимостей
• Внедрите мониторинг целостности файлов критических зависимостей
Мотивация атакующих — эксплуатация интереса разработчиков к инструментам AI и желания сэкономить на API-доступе. Это очередное напоминание о необходимости тщательной проверки даже "безобидных" npm-пакетов, особенно предлагающих подозрительно выгодные условия.
Бесплатный сыр в NPM мышеловке.
#npm #Cursor #безопасность
———
@tsingular
Исследователи кибербезопасности обнаружили три вредоносных npm-пакета, специально нацеленных на macOS-версию Cursor — популярного AI-редактора кода.
Технические детали атаки:
• Пакеты маскировались под "самый дешевый Cursor API"
• Похищали учетные данные пользователей
• Загружали зашифрованный вредоносный код с серверов атакующих
• Перезаписывали файл main.js редактора Cursor
• Отключали автообновления для сохранения доступа
Затронутые пакеты:
• sw-cur (2,771 загрузок)
• sw-cur1 (307 загрузок)
• aiide-cur (163 загрузки)
Особенность атаки — техника компрометации через патчи, которая:
• Модифицирует легитимное ПО, уже установленное на компьютере разработчика
• Сохраняет вредоносный код даже после удаления npm-пакета
• Наследует доверие и привилегии оригинального приложения
Практическая защита:
• Проверяйте пакеты на наличие подозрительных postinstall-скриптов
• Отслеживайте модификации файлов за пределами node_modules
• Блокируйте неожиданные сетевые соединения
• Используйте строгую фиксацию версий зависимостей
• Внедрите мониторинг целостности файлов критических зависимостей
Мотивация атакующих — эксплуатация интереса разработчиков к инструментам AI и желания сэкономить на API-доступе. Это очередное напоминание о необходимости тщательной проверки даже "безобидных" npm-пакетов, особенно предлагающих подозрительно выгодные условия.
Бесплатный сыр в NPM мышеловке.
#npm #Cursor #безопасность
———
@tsingular
✍6👍3⚡2❤1