威胁组织 WhiteCobra 通过在 Visual Studio 应用商店和 Open VSX 注册表中植入 24 款恶意扩展程序，针对 VSCode、Cursor 和 Windsurf 代码编辑器用户发起攻击。

目前该攻击活动仍在持续——每当平台移除恶意扩展，攻击者就会立即上传新的恶意代码取而代之。

以太坊核心开发者 Zak Cole 在公开帖子中表示，他在使用一款看似合法的 Cursor 编辑器扩展程序（contractshark.solidity-lang）后，加密货币钱包遭到清空。  Cole 指出，这款扩展程序具备所有 " 正常产品 " 的特征：专业设计的图标、详细的功能说明，且在 Cursor 官方注册表 OpenVSX 上的下载量达 5.4 万次。

终端安全服务商 Koi 的研究人员称，WhiteCobra 正是今年 7 月通过伪造 Cursor 编辑器扩展程序窃取 50 万美元加密货币的同一组织。

WhiteCobra 攻击详情

VSCode、Cursor 和 Windsurf 均为支持 VSIX 格式扩展程序的代码编辑器—— VSIX 是 VS Code 应用商店和 Open VSX 平台上扩展程序的默认打包格式。

这种跨平台兼容性，加之上述平台对扩展程序提交缺乏严格的审核机制，使其成为攻击者理想的攻击载体，能够实现大范围影响。

据 Koi 安全团队分析，WhiteCobra 打造的恶意 VSIX 扩展程序伪装性极强：不仅精心撰写功能描述，还伪造了高额下载量，以此骗取用户信任。

该团队发现，以下扩展程序属于 WhiteCobra 最新攻击活动的一部分：

Open-VSX 平台（适用于 Cursor/Windsurf）

1.ChainDevTools.solidity-pro  

2.kilocode-ai.kilo-code  

3.nomic-fdn.hardhat-solidity  

4.oxc-vscode.oxc  

5.juan-blanco.solidity  

6.kineticsquid.solidity-ethereum-vsc  

7.ETHFoundry.solidityethereum  

8.JuanFBlanco.solidity-ai-ethereum  

9.Ethereum.solidity-ethereum  

10.juan-blanco.solidity  

11.NomicFdn.hardhat-solidity  

12.juan-blanco.vscode-solidity  

13.nomic-foundation.hardhat-solidity  

14.nomic-fdn.solidity-hardhat  

15.Crypto-Extensions.solidity  

16.Crypto-Extensions.SnowShsoNo  

VS Code 应用商店

1.JuanFBlanco.awswhh  

2.ETHFoundry.etherfoundrys  

3.EllisonBrett.givingblankies  

4.MarcusLockwood.wgbk  

5.VitalikButerin-EthFoundation.blan-co  

6.ShowSnowcrypto.SnowShoNo  

7.Crypto-Extensions.SnowShsoNo  

8.Rojo.rojo-roblox-vscode  

冒充合法项目进行钓鱼下载

恶意代码执行流程与危害

研究人员表示，钱包被盗的攻击流程始于恶意扩展程序的主文件（extension.js）——该文件 " 与 VSCode 扩展模板自带的‘ Hello World ’基础代码几乎完全一致 "，极具迷惑性。

但其中隐藏着一段简单的调用代码，会将执行权转移至次级脚本（prompt.js），随后从 Cloudflare Pages 下载下一阶段的恶意载荷。该载荷具备平台针对性，分别提供适用于 Windows、ARM 架构 macOS 和 Intel 架构 macOS 的版本：

Windows 系统：通过 PowerShell 脚本执行 Python 脚本，再由 Python 脚本运行外壳代码（shellcode），最终植入 LummaStealer 恶意软件。

LummaStealer 是一款信息窃取工具，专门针对加密货币钱包应用、浏览器扩展程序、浏览器中存储的凭据及即时通讯软件数据发起窃取。

macOS 系统：恶意载荷为 Mach-O 格式的恶意二进制文件，本地执行后会加载一个未知家族的恶意软件。

威胁组织运作模式与安全建议

从 WhiteCobra 的内部操作手册可见，该犯罪组织会设定 1 万至 50 万美元的营收目标，提供命令与控制（C2）基础设施搭建指南，并详细规划社会工程学攻击与推广策略。

泄露的 WhiteCobra 行动手册

这表明该组织运作高度有组织化，且不会因攻击曝光或扩展被下架而退缩。Koi 安全团队指出，WhiteCobra 仅需不到 3 小时就能部署新一轮攻击活动。

研究人员表示，当前扩展程序仓库亟需更完善的验证机制，以区分恶意扩展与合法扩展——因为评分、下载量和评论均可能被篡改，用于骗取用户信任。

针对代码编辑器扩展程序的下载，研究人员给出以下建议：

1. 仔细核查是否存在仿冒知名开发者或如相似名称混淆视听的情况；

2. 优先选择知名度高、信任记录良好的项目；

3. 对短期内突然获得大量下载量和正面评价的新项目保持警惕。