Schon mehr als 3000 Downloads

Cursor AI: Malware in gefälschten NPM-Paketen entdeckt

Cursor AI
Bildquelle: aileenchik/Shutterstock.com
LinkedInRedditWhatsAppPocket

English Dieser Artikel ist auch auf Englisch verfügbar.

Sicherheitsforscher haben drei schädliche NPM-Pakete identifiziert, die sich als Entwicklertools für den KI-gestützten Code-Editor Cursor ausgeben. Die Schadsoftware zielt speziell auf macOS-Nutzer ab und installiert eine Hintertür im System.

Cursor ist ein proprietärer Codeeditor mit integrierten KI-Funktionen und bietet Entwicklern Zugang zu verschiedenen Sprachmodellen – die Premium-Varianten allerdings nur gegen Bezahlung. Genau hier setzen die Angreifer an: Die gefälschten Pakete namens „sw-cur“, „sw-cur1“ und „aiide-cur“ versprechen einen kostengünstigen Zugang zu den kostenpflichtigen Funktionen des Editors.

Anzeige

Nach Angaben des Sicherheitsunternehmens Socket wurden die Pakete von einem Angreifer unter den NPM-Benutzernamen „gtr2018“ und „aiide“ veröffentlicht und verzeichnen bislang über 3.200 Downloads. „Zum Zeitpunkt der Veröffentlichung sind diese Pakete noch immer im NPM-Registry verfügbar. Wir haben formal deren Entfernung beantragt“, warnt Socket.

Umfangreiche Angriffsfunktionen

Die Malware verfügt über ein beachtliches Arsenal an Funktionen:

  • Diebstahl von Benutzerzugangsdaten
  • Abruf einer Schadlast von einem entfernten Server mit anschließender Entschlüsselung und Entpackung
  • Ersetzung des legitimen Cursor-Codes durch schädlichen Code
  • Neustart der Anwendung zur Erlangung persistenter Fernzugriffsfunktionen innerhalb der IDE
  • Deaktivierung des Auto-Update-Mechanismus von Cursor (im Fall von sw-cur), vermutlich um die Entfernung zu verhindern

„Der Angriff zielt speziell auf macOS-Installationen dieser Anwendung ab, indem interne Dateien wie main.js unter dem Pfad ‚/Applications/Cursor.app/…‘ modifiziert werden. Die Malware nutzt die vertrauenswürdige Laufzeitumgebung des Editors, um vom Angreifer kontrollierten Code auszuführen und Persistenz zu gewährleisten“, erläutert Socket.

Anzeige

Erhebliche Risiken für Einzelpersonen und Unternehmen

Die Folgen eines erfolgreichen Angriffs können schwerwiegend sein:

  • Diebstahl von Zugangsdaten und Quellcode
  • Infektion mit zusätzlicher Malware
  • Unbefugter Zugriff auf kostenpflichtige Dienste
  • Manipulation jedes in der IDE geöffneten Quellcodes

„In Unternehmensumgebungen oder Open-Source-Projekten vervielfachen sich die Risiken. Eine manipulierte IDE auf dem Rechner eines Entwicklers kann proprietären Quellcode preisgeben, schädliche Abhängigkeiten in Builds einschleusen oder als Ausgangspunkt für laterale Bewegungen innerhalb von CI/CD-Pipelines dienen“, warnt Socket.


Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige

Weitere Artikel

Resiliente IT-Struktur nach dem Prinzip „Run, Transform and Run“
SAP reagiert auf US-Gesetze – Frauenquote entfällt
Systemausfall bei Finanzämtern behoben
Microsoft Teams: Screenshot-Blocker soll Meeting-Inhalte schützen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.