锁定Visual Studio Code（VSCode）的恶意延伸套件攻击，已有多起事故发生，如今也有攻击其他整合式开发工具（IDE）用户的情况出现。

事件的揭露是源自一名白俄罗斯的区块链开发人员，他的加密货币资产在今年6月遭窃，损失约50万美元，但怪异的是，电脑的作业系统在事发数天前才重灌，电脑只有安装必要的应用程序，他并未下载其他文件，这样的情况相当不寻常，于是他找上资安业者卡巴斯基寻求协助。

卡巴斯基在受害电脑进行调查，结果找到名为extension.js的文件，经过分析此为Cursor AI延伸套件Solidity Language，可从Open VSX套件库取得。此套件约于两个月前上架，已被下载5.4万次，号称能对Solidity智慧合约的程序码最佳化。但实际上，这是模仿正牌工具Solidity的恶意套件，并未具备介绍网页里列出的功能，真正功能是从特定的网页服务器下载恶意程序码并执行。

正牌的Solidity已被下载6.1万次，照理来说，还是比冒牌的要来得多，但为何开发人员会上当？卡巴斯基在Open VSX使用关键字solidity搜寻，结果冒牌套件在第4个结果，但正牌的在第8名。会造成这样的搜寻结果，与搜寻引擎採用相关性排序有关，这些评比的因素包含评分、发布或更新的时间、下载次数，以及是否通过验证。冒牌套件最后更新日期为6月15日，正牌套件为5月30日，而有可能因此影响综合相关性评比结果，使得搜寻引擎优先显示冒牌套件。

这名受害的开发人员在不慎安装冒牌套件之后，误以为仅是系统错误而决定稍后处理，但此时该套件已开始在后台部署恶意软件。首先，攻击者下载PowerShell指令码，检查受害电脑是否安装远端管理软件ScreenConnect，并建立C2连线。

接着，攻击者利用3个VBScript文件执行后续活动，于受害电脑部署后门程序Quasar，并使用窃资软件从浏览器、收信软件、加密货币钱包收集特定资料，最终洗劫受害者的加密货币钱包。