Seorang developer blockchain Rusia kehilangan sekitar 500.000 dolar Amerika Serikat dalam cryptocurrency setelah menginstal apa yang tampak seperti ekstensi syntax highlighting Solidity yang sah untuk Visual Studio Code. Insiden ini menyoroti kerentanan keamanan kritis dalam cara developer mempercayai dan menginstal ekstensi kode, khususnya di lingkungan pengembangan bertenaga AI seperti Cursor yang mengandalkan marketplace ekstensi pihak ketiga.
Serangan dimulai ketika developer mengunduh ekstensi berbahaya bernama astexplorer.js dari registry Open VSX, yang menyediakan ekstensi untuk fork VSCode termasuk Cursor AI. Meskipun sadar akan keamanan dan menggunakan perangkat lunak antivirus, developer tersebut menjadi korban serangan supply chain yang canggih yang mengeksploitasi algoritma ranking marketplace ekstensi.
Vektor Serangan Teknis:
- File berbahaya:
astexplorer.jsyang terletak di%UserProfile%\AppData\Local\temp - Mengunduh skrip PowerShell dari
img[.]yt-lu[.]xyz/install[.]ps1 - Menginstal perangkat lunak akses jarak jauh ScreenConnect
- Menyebarkan malware pencuri dompet cryptocurrency yang menargetkan MetaMask dan file dompet lokal
 |
|---|
| Seorang hacker di lingkungan digital, menggambarkan kerentanan keamanan yang menyebabkan pencurian cryptocurrency dalam jumlah besar |
Manipulasi Algoritma Ranking Memungkinkan Penipuan
Para penyerang berhasil memanipulasi sistem ranking pencarian Open VSX untuk membuat ekstensi berbahaya mereka muncul lebih tinggi dalam hasil pencarian dibandingkan versi yang sah. Meskipun ekstensi palsu memiliki unduhan yang lebih sedikit (144.000+ versus 151.000+ untuk yang sah), ekstensi tersebut berperingkat lebih tinggi karena beberapa faktor termasuk pembaruan yang lebih baru dan optimasi kata kunci. Versi berbahaya terakhir diperbarui pada 18 Juni 2021, sementara ekstensi yang sah tidak diperbarui sejak 30 Mei 2020. Bias kebaruan dalam algoritma ranking ini membantu ekstensi palsu mendapatkan visibilitas di antara developer yang tidak curiga.
Ekstensi yang menipu tersebut sebenarnya tidak menyediakan fungsi syntax highlighting apa pun, tetapi banyak pengguna kemungkinan tidak menyadari kegagalan ini sementara malware secara diam-diam dieksekusi di latar belakang.
Timeline Serangan:
- Juni 2021: Ekstensi berbahaya diunggah ke registri Open VSX
- Ekstensi memperoleh 144.000+ unduhan sebelum terdeteksi
- 2 Juli 2021: Ekstensi dihapus dari marketplace
- Penyerang segera merilis ekstensi berbahaya baru pada hari berikutnya
 |
|---|
| Dua pengembang bekerja sama di depan komputer, menyoroti sifat kolaboratif pemrograman di tengah risiko keamanan tersembunyi |
Izin Ekstensi Tanpa Batasan Menciptakan Risiko Keamanan
Serangan berhasil karena ekstensi VSCode beroperasi tanpa pembatasan keamanan yang berarti atau sandboxing. Ekstensi mewarisi semua izin yang sudah dimiliki editor host, memungkinkan mereka mengakses seluruh filesystem, menjalankan perintah sistem, dan mengunduh malware tambahan. Model akses tanpa batasan ini berarti bahwa ekstensi berbahaya apa pun berpotensi mengkompromikan seluruh lingkungan pengembangan.
Ekstensi berbahaya mengunduh dan menjalankan skrip PowerShell yang menginstal alat akses jarak jauh seperti ScreenConnect, memberikan penyerang kontrol penuh atas mesin korban. Dari sana, mereka menyebarkan malware pencuri dompet cryptocurrency yang menargetkan dompet berbasis browser seperti MetaMask dan file dompet lokal.
 |
|---|
| Kemajuan teknologi yang digambarkan di sini menekankan pentingnya langkah-langkah keamanan terhadap potensi ancaman malware dalam lingkungan pengembangan |
Marketplace Ekstensi Open Source Kurang Pengawasan Keamanan
Insiden ini mengekspos celah keamanan yang signifikan di Open VSX, marketplace ekstensi yang dijalankan relawan yang digunakan oleh alternatif VSCode seperti Cursor AI. Tidak seperti marketplace VSCode resmi Microsoft, yang memiliki tim keamanan khusus dan sistem deteksi otomatis, Open VSX beroperasi dengan sumber daya terbatas dan proses pemeriksaan minimal.
Mengandalkan (dan menyalahkan) infrastruktur relawan adalah tidak bertanggung jawab, terutama ketika Anda memiliki begitu banyak pendanaan.
Ini menciptakan situasi yang mengkhawatirkan di mana perusahaan bernilai miliaran dolar seperti Cursor AI (yang mengumpulkan 900 juta dolar Amerika Serikat) mengandalkan infrastruktur yang dikelola relawan untuk fungsi keamanan kritis. Eclipse Foundation, yang mengawasi Open VSX, kekurangan sumber daya untuk menerapkan langkah-langkah keamanan komprehensif yang sebanding dengan alternatif komersial.
Perbandingan Keamanan:
- Microsoft VSCode Marketplace: Tim keamanan khusus, deteksi otomatis, mengklaim waktu respons 2 detik untuk ekstensi berbahaya
- Open VSX Registry: Dijalankan oleh sukarelawan dari Eclipse Foundation , sumber daya keamanan terbatas, proses pemeriksaan minimal
- Izin Ekstensi: Kedua marketplace memungkinkan akses tak terbatas ke sistem file dan jaringan untuk ekstensi
Praktik Developer Perlu Perubahan Fundamental
Pencurian cryptocurrency ini menimbulkan pertanyaan penting tentang praktik keamanan pengembangan. Banyak developer secara rutin menginstal ekstensi, paket npm, dan kode pihak ketiga lainnya tanpa tinjauan keamanan yang menyeluruh. Korban dalam kasus ini sedang mengembangkan di mesin yang sama di mana dia menyimpan kepemilikan cryptocurrency yang signifikan, menciptakan situasi berisiko tinggi yang tidak perlu.
Para ahli keamanan merekomendasikan penggunaan hardware wallet untuk penyimpanan cryptocurrency, mengembangkan dalam kontainer atau mesin virtual yang terisolasi, dan dengan hati-hati memverifikasi semua ekstensi yang diinstal. Beberapa developer mengadopsi pendekatan yang lebih paranoid, termasuk menjalankan lingkungan pengembangan dalam kontainer Docker dengan akses filesystem yang dibatasi.
Insiden ini berfungsi sebagai pengingat yang keras bahwa ekosistem pengembangan perangkat lunak modern sangat bergantung pada hubungan kepercayaan dengan ribuan paket dan ekstensi pihak ketiga. Ketika serangan supply chain menjadi lebih canggih, developer dan perusahaan yang membangun alat pengembangan harus memprioritaskan langkah-langkah keamanan yang sesuai dengan skala risiko ini.