AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Extensión falsa para Cursor AI IDE distribuye RATs e infostealers y provoca el robo de 500.000 dólares en criptomonedas

admin

Introducción
El ecosistema de desarrollo de software ha sido objeto de una nueva campaña de ciberataques dirigida a usuarios del editor de código Cursor AI IDE. Una extensión falsa, distribuida a través de canales no oficiales, ha permitido la instalación de herramientas de acceso remoto (RAT) e infostealers en los sistemas de las víctimas. Uno de los incidentes más destacados es el robo de 500.000 dólares en criptomonedas a un desarrollador ruso, lo que pone de manifiesto la criticidad de la amenaza y la necesidad de reforzar las medidas de seguridad en entornos de desarrollo.

Contexto del Incidente
Cursor AI IDE es un editor de código basado en inteligencia artificial que ha ganado popularidad entre desarrolladores por sus capacidades avanzadas de autocompletado y análisis de código. Con el auge de este tipo de herramientas, los actores de amenazas han identificado nuevas oportunidades de ataque, explotando la confianza de los usuarios en extensiones y plugins de terceros.

El incidente se originó con la difusión de una extensión fraudulenta que simulaba ser legítima, dirigida a usuarios de Cursor AI IDE. La extensión, al ser instalada, desplegaba malware en el sistema, facilitando tanto el acceso remoto no autorizado como el robo de información sensible, incluidas credenciales y monederos de criptomonedas.

Detalles Técnicos
Aunque no se ha asignado todavía un identificador CVE específico a esta campaña, el vector de ataque principal ha sido la ingeniería social: la extensión se distribuía en foros, canales de Telegram y repositorios no oficiales, aprovechando descripciones atractivas y falsas recomendaciones.

Una vez instalada, la extensión ejecutaba scripts maliciosos que descargaban y ejecutaban varias familias de malware, entre ellas:

– RATs como **njRAT** y **Remcos**, que permiten el control total del sistema infectado.
– Infostealers ampliamente utilizados como **RedLine Stealer** y **Raccoon Stealer**, especializados en la exfiltración de credenciales, cookies, información de autofill y carteras de criptomonedas.

Estos componentes maliciosos empleaban técnicas habituales (TTPs) recogidas en el marco MITRE ATT&CK, tales como:

– **T1059**: ejecución de comandos y scripts.
– **T1071**: uso de canales de comando y control a través de HTTP(S).
– **T1566**: spear phishing mediante ingeniería social.

Indicadores de compromiso detectados incluyen hashes de archivos maliciosos, dominios de C2 y rutas de archivo modificadas en sistemas Windows y Linux. Asimismo, se han reportado módulos de persistencia mediante la alteración de claves de registro y tareas programadas.

Impacto y Riesgos
El caso más notorio, confirmado por analistas de amenazas, ha supuesto el robo de aproximadamente 500.000 dólares en criptomonedas de las carteras de un desarrollador ruso, tras el acceso a las llaves privadas almacenadas en el sistema comprometido. No obstante, no es un caso aislado: se han identificado decenas de infecciones en desarrolladores de distintos países, principalmente en Europa del Este y Asia Central.

El impacto se traduce en:

– Pérdida directa de activos digitales y datos críticos.
– Riesgo de movimiento lateral en entornos corporativos, especialmente si el equipo infectado tiene acceso a repositorios internos o credenciales privilegiadas.
– Posible incumplimiento de normativas como **GDPR** (por la exfiltración de datos personales) y la inminente **NIS2** para infraestructuras críticas, lo que puede acarrear sanciones económicas y daños reputacionales.

Medidas de Mitigación y Recomendaciones
Para minimizar el riesgo de infección, los expertos recomiendan:

1. **Descargar extensiones únicamente de fuentes oficiales** y verificar la autenticidad del desarrollador.
2. **Monitorizar los sistemas con EDRs y soluciones antimalware** capaces de detectar RATs e infostealers conocidos.
3. **Aplicar el principio de mínimo privilegio** en las cuentas de usuario y segmentar el acceso a recursos críticos como wallets de criptomonedas.
4. **Actualizar y parchear regularmente el software** utilizado en entornos de desarrollo.
5. **Auditar periódicamente los plugins y extensiones instalados** en IDEs y herramientas de desarrollo.
6. **Monitorizar indicadores de compromiso** específicos de esta campaña y bloquear dominios de C2 conocidos.

Opinión de Expertos
Especialistas en ciberseguridad, como Dmitry Smilyanets (Recorded Future), alertan de que “los entornos de desarrollo son ahora uno de los principales vectores de ataque para campañas de malware financiero, ya que combinan acceso a activos digitales y credenciales corporativas”. Por su parte, equipos de respuesta a incidentes recomiendan endurecer las políticas de control de aplicaciones y analizar cualquier extensión o plugin antes de su despliegue masivo.

Implicaciones para Empresas y Usuarios
El incidente pone de relieve la importancia de la **cadena de suministro de software** como objetivo de los atacantes. Las empresas que permiten la instalación de plugins de terceros sin control exhaustivo aumentan su superficie de ataque. Para los desarrolladores individuales, el riesgo es doble: no solo exponen sus propios activos, sino que pueden convertirse, sin saberlo, en un vector para comprometer entornos corporativos.

En un mercado donde el valor del robo de criptomonedas supera los **4.000 millones de dólares anuales** y la presión regulatoria (GDPR, NIS2, DORA) es creciente, la gestión de riesgos en herramientas de desarrollo debe ser prioritaria en la estrategia de ciberseguridad.

Conclusiones
La extensión falsa para Cursor AI IDE representa un ejemplo paradigmático de cómo la falta de controles en la cadena de suministro de software puede derivar en consecuencias financieras y de seguridad graves. La sofisticación de las campañas y el enfoque en activos digitales refuerzan la necesidad de una vigilancia constante, tanto a nivel técnico como de concienciación de los usuarios. La comunidad de ciberseguridad debe redoblar esfuerzos en la detección proactiva de amenazas y en la promoción de buenas prácticas en la gestión de entornos de desarrollo.

(Fuente: www.bleepingcomputer.com)