Более 3200 пользователей курсора заражены вредоносными npm-пакетами, похищающими учетные данные.

Исследователи в области кибербезопасности выявили три вредоносных пакета npm, нацеленных на macOS-версию AI-инструмента для редактирования кода Cursor.

Эти пакеты, замаскированные под инструменты разработчика, предлагающие "самый дешевый API Cursor", крадут учетные данные пользователей, загружают зашифрованный полезный груз с инфраструктуры, контролируемой злоумышленниками, перезаписывают основной файл main.js Cursor и отключают автоматические обновления для поддержания устойчивости, – сообщил исследователь Socket Кирилл Бойченко. Все три пакета остаются доступными для загрузки из реестра npm. Пакет "Aiide-cur" был впервые опубликован 14 февраля 2025 года.

В общей сложности эти пакеты были загружены более 3200 раз. Эти данные указывают на новую тенденцию, когда злоумышленники используют вредоносные пакеты npm для внесения злонамеренных изменений в другие легитимные библиотеки или программное обеспечение, уже установленное на системах разработчиков.

“Работая внутри легитимного родительского процесса – IDE или общей библиотеки, – вредоносная логика наследует доверие приложения, сохраняет устойчивость даже после удаления злонамереного пакета и автоматически получает все привилегии, которыми обладает это программное обеспечение, от API-токенов и ключей подписи до исходящего сетевого доступа”, – рассказали в Socket изданию The Hacker News.

“Эта кампания подчеркивает растущую угрозу цепочке поставок, когда злоумышленники все чаще используют вредоносные патчи для компрометации надежного локального программного обеспечения”, – отметил Бойченко.

Пакеты npm "перезапускают приложение, чтобы патч вступил в силу", позволяя злоумышленнику "выполнять произвольный код в контексте платформы".