一個針對開發者社群的惡意攻擊事件於近日曝光：攻擊者在**Cursor IDE（AI 編程工具）**平台中植入惡意 Visual Studio Code 擴充元件，成功竊取用戶私密金鑰並盜取至少 50 萬美元加密貨幣資產。此事件引發業界對於「開發環境供應鏈安全」的高度警覺。
 

事件概要

受影響的程式擴充元件名為 vscode-ext，由攻擊者透過 Cursor IDE 的擴充機制上傳發佈。該擴充程式外觀上與合法工具無異，但暗藏惡意 JavaScript 代碼，一旦使用者安裝即會被監控、竊取資訊，進而觸發遠端命令來盜取加密資產。根據資安研究組織 Security Joes 的分析，這起攻擊鏈條具有高水準的偽裝技術與強烈針對性。
 

攻擊流程與技術細節

整體攻擊流程如下：

1. 針對 Cursor 使用者發布偽裝的 VSCode 擴充套件

   • 名稱與圖示極度模仿常見工具，如 Git 支援或 AI 補全等。

2. 內部嵌入隱藏的 JavaScript 惡意程式碼

   • 該程式碼會監控 .env、.json、wallet.dat、keystore 等敏感檔案。

   • 使用 obfuscation（混淆）與 base64 加密規避掃描。

3. 主動發送使用者機敏資訊至攻擊者控制的伺服器

   • 包含瀏覽器快取、SSH 憑證、錢包私鑰、API 金鑰等。

4. 觸發加密貨幣錢包盜轉操作

   • 目前追蹤約 $500,000 USDT/ETH 已被劫走，使用 Tornado Cash 等平台洗錢。
      

為何 Cursor IDE 成為目標？

Cursor IDE 是近年流行的「AI 編碼輔助工具」，基於 VSCode 建構，支援 OpenAI Codex、GPT-4 等模型，大量開發者轉向使用 Cursor 作為主力開發環境。

由於 Cursor 採用客製化的 VSCode 套件架構，缺乏嚴格的套件審查制度，使得攻擊者能繞過傳統 VSCode Marketplace 的檢查機制，在官方 Cursor 套件目錄中上傳惡意擴充。
 

影響範圍

1. 時間範圍：2025 年 6 月中旬起上架，至 7 月初被揭露與下架。

2. 使用者數量：初步估計有 超過 40,000 名開發者 下載使用。

3. 受害金額：根據區塊鏈追蹤，資產損失已達 50 萬美元以上，可能持續增加。

更嚴重的是，攻擊者在盜取憑證後，不只盜走虛擬貨幣，還可能對使用者企業或專案源碼發動進一步攻擊。
 

資安建議與防護措施

針對本次事件，資安研究人員與業界提出以下因應建議：

1. 立刻移除受影響套件

   • 使用 Cursor IDE 的開發者應檢查是否安裝 vscode-ext 或其他未驗證來源套件。

2. 全面檢查系統是否存在潛在後門

   • 包含 Node.js 全域套件、VSCode 擴充、Shell 啟動指令、.bashrc 等。

3. 重新產出並更換密鑰與憑證

   • 包括 SSH key、雲端 API 金鑰、以太坊私鑰等。

4. 未來只安裝來自可信平台的插件

   • 建議使用 Visual Studio Code Marketplace 經過審核的元件。

5. 加強開發環境監控與隔離

   • 使用沙箱（sandbox）開發環境與分離的帳號權限控管。
      

供應鏈風險的延伸警訊

這起事件凸顯「開發工具供應鏈攻擊」的嚴峻性。從 npm 套件、Python 套件到 VSCode 插件，都成為攻擊者的潛在投毒點。企業與個人開發者需提升警覺，不應盲目安裝來歷不明的工具與擴充。