CoinFubi

Bitdefender 研究人员发现了一款恶意 Windsurf IDE 扩展，针对 Windsurf 集成开发环境并利用 Solana 区块链分发旨在窃取开发者凭证的恶意软件。该扩展伪装成在 Visual Studio Code 兼容环境中用于 R 语言开发的工具。分析的样本名为 reditorsupporter.r-vscode-2.8.8-universal，与正版 REditorSupport 扩展高度相似。

研究人员在端点检测警报对 windsurf.exe 在企业工作站上的可疑行为发出信号后开始追踪。用户在认为扩展是合法的情况下安装了它，安装后攻击链展开，软件包将其功能隐藏在加密的 JavaScript 中，只有安装后才能解密。解密后，加载程序引入额外的恶意组件，调查人员发现攻击者将这些载荷存储在 Solana 区块链交易中。加载程序直接从区块链检索载荷，而不是联系传统的命令与控制（C2）服务器，从而扩大了攻击基础设施。

Bitdefender 将该恶意软件描述为多阶段的 NodeJS 信息窃取程序，目标是存储在基于 Chromium 的浏览器中的数据，包括保存的密码、会话 Cookies 及其他敏感信息。该活动聚焦于开发者环境，在这些环境中通常存在特权凭据和访问令牌。开发机器通常存储云服务的 API 密钥、内部系统凭证以及管理员控制台的会话。丢失对这些资产的访问可能将影响扩大到不仅仅是一台工作站。

执行之前，恶意软件收集了系统信息，检查区域设置和时区设置，包括感染的系统是否显示为位于俄罗斯。如果检测到俄罗斯相关指标，它将终止。调查人员发现一种基于隐藏的 Windows 计划任务的持久化机制。该任务使用捆绑的 NodeJS 运行时重新启动恶意软件，使感染在重启和用户登录时保持活跃，并且没有可见的应用入口点。

使用 IDE 扩展体现了一种更广泛的模式：攻击者将恶意代码隐藏在开发者日常信任并使用的工具中。扩展生态系统可以为进入治理较弱、可能不如集中管理的企业软件的环境提供入口。Bitdefender 建议在安装前对扩展进行核验，并收紧赋予开发工具的权限。端点遥测可以帮助检测此类活动，因为恶意代码在受信任的进程中运行。