• 攻击利用了开发者在赶项目时的信任漏洞,恶意扩展伪装正规,拥有5.4万+下载量,来自官方Open VSX源。
• 安装后数分钟内,扩展偷偷读取.env文件并将私钥发送至攻击者服务器,3天后钱包被清空。
• 损失受限于严格的OpSec习惯:硬件钱包存主资、热钱包仅做测试,分项目隔离资金,避免一网打尽。
• 攻击特点:纯JavaScript跨平台(Mac/Linux/Win),无系统级恶意软件,静默执行无异常提示。
• 关键漏判点:发布者名称细微差异(“contractshark” vs “juanblanco”)、无GitHub链接、下载多但无评论、近期发布,典型typosquatting手法。
• 建议立即检查Cursor扩展列表、信任发布者状态,移除可疑扩展,杜绝私钥存.env文件,推行硬件钱包唯一签名策略,使用隔离开发环境及加密密码库。
• 遭遇风险非复杂高级攻击,而是一瞬间的警觉放松和信任错判,凸显个人OpSec比代码安全更易成短板。
• 受害者呼吁社区普遍审计扩展、分享安全经验,推动透明讨论“失败案例”,以防止更多开发者中招。
