Kaspersky menemukan serangan siber yang menyusup lewat ekstensi Visual Studio Code palsu, menyasar pengguna Cursor dan mencuri aset kripto senilai setengah juta dolar.
Kaspersky Global Research and Analysis Team (GReAT) kembali mengungkap serangan siber yang menyasar komunitas pengembang, kali ini melalui ekosistem Cursor, sebuah alat pengkodean berbasis AI yang populer di kalangan developer.
Serangan ini diketahui telah menyebabkan kerugian hingga $500 ribu atau sekitar Rp8 miliar dalam bentuk aset kripto milik salah satu pengembang blockchain.
Modus operandi dari serangan ini terbilang licik. Penyerang menyusupkan ekstensi palsu ke dalam repositori Open VSX, yang merupakan tempat publik untuk ekstensi Visual Studio Code.
Ekstensi tersebut mengklaim menyediakan dukungan bahasa pemrograman Solidity, namun kenyataannya digunakan untuk mengunduh dan menjalankan kode berbahaya ke komputer korban.
Baca juga: Tahukah Kamu, Siapa Pencipta Bitcoin?
Yang lebih mencengangkan, ekstensi palsu ini dibuat lebih populer secara artifisial dibandingkan ekstensi asli. Dengan mengelabui sistem peringkat, penyerang berhasil meningkatkan jumlah unduhan hingga lebih dari 2 juta kali, membuat ekstensi jahat ini tampil di posisi teratas saat pengguna mencari “solidity” di Open VSX.
Quasar dan Stealer Jadi Senjata Utama
Begitu diinstal, ekstensi tidak memberikan fungsi apapun kepada pengguna, melainkan menginstal program ScreenConnect yang memberi akses jarak jauh ke pelaku kejahatan siber. Dari sana, pelaku menyebarkan backdoor Quasar serta program pencuri data (stealer).
Malware tersebut kemudian mengakses berbagai data sensitif, termasuk:
- Kata sandi dan cookies dari peramban web
- Informasi dompet kripto, termasuk frasa pemulihan
- Data dari email client
Informasi tersebut lalu digunakan untuk mengambil kendali atas dompet kripto korban dan mencuri aset digital di dalamnya.
Menyasar Pengembang Blockchain
Salah satu korban pertama adalah seorang pengembang blockchain dari Rusia. Ia menghubungi Kaspersky setelah menyadari bahwa aset kriptonya senilai sekitar $500.000 hilang tak lama setelah menginstal ekstensi palsu dari Open VSX.
Menurut peneliti keamanan Kaspersky, Georgy Kucherin, serangan ini menunjukkan bahwa bahkan pengembang berpengalaman pun dapat menjadi korban jika tidak berhati-hati.
“Aktor ancaman kini semakin kreatif dalam menipu korban, termasuk para profesional TI yang bekerja di pengembangan blockchain. Sangat penting untuk menggunakan solusi keamanan khusus dan tetap waspada,” ujar Kucherin.
Ekstensi Jahat Lainnya dan Langkah Pencegahan
Tak hanya satu, pelaku juga merilis ekstensi berbahaya lainnya seperti:
- solsafe (diunggah ke NPM, bukan VSX)
- solaibot
- among-eth
- blankebesxstnion
Baca juga: PINTU Gandeng Cermati, Tingkatkan Literasi Crypto Lewat “Pintu Goes to Office”
Semua ekstensi ini memiliki pola serupa: menyamar sebagai alat pengembangan, namun diam-diam mengunduh malware ke perangkat pengguna. Untungnya, ekstensi tersebut kini telah dihapus dari repositori, namun tidak menutup kemungkinan varian baru akan muncul.
Agar terhindar dari ancaman serupa, berikut beberapa langkah yang direkomendasikan oleh Kaspersky:
- Gunakan solusi keamanan yang mampu memantau dan memverifikasi komponen sumber terbuka yang digunakan.
- Verifikasi kredibilitas pengelola paket, cek riwayat versi, dokumentasi, serta reputasi komunitas.
- Jangan mudah percaya pada jumlah unduhan, karena bisa dimanipulasi oleh aktor jahat.
- Langganan buletin keamanan atau sumber informasi terpercaya untuk tetap update terhadap ancaman baru.
- Gunakan layanan Compromise Assessment, khususnya jika dicurigai ada pelanggaran atau penyusupan ke infrastruktur perusahaan.
Sumber foto: Kaspersky
