Бубен больше не помогает?
Image

Мы вскрываем схемы, пока их прячут

Чат для тех, кто чинит сети головой и руками. Реальный опыт, а не магия.

ИИ-помощник с плохими советами. Cursor пытается подсунуть пользователям «троянца» под видом полезной утилиты

Cursor OpenVSX VSCode Koi Security
ИИ-помощник с плохими советами. Cursor пытается подсунуть пользователям «троянца» под видом полезной утилиты
Cursor OpenVSX VSCode Koi Security

Злоумышленники могли занять свободные пространства имён в OpenVSX и раздавать вредоносные расширения через IDE.

image

Популярные IDE с ИИ помощниками вроде Cursor, Windsurf, Google Antigravity и Trae оказались уязвимы к атаке на цепочку поставок. Они показывают пользователям рекомендации установить расширения, которых нет в каталоге OpenVSX. Проблема в том, что такие пустующие имена может занять кто угодно, загрузив туда вредоносное расширение под доверенным брендом.

Эти среды разработки построены на базе форка Microsoft VSCode, но по лицензии не могут использовать официальный магазин расширений Visual Studio Marketplace. Поэтому они опираются на OpenVSX, это открытая альтернатива для совместимых расширений. И тут срабатывает наследство от VSCode. В конфигурации таких IDE уже зашит список официально рекомендуемых расширений, который изначально рассчитан на магазин Microsoft, а не на OpenVSX.

Рекомендации появляются двумя способами. Первый связан с файлами. Например, если разработчик открывает azure-pipelines.yaml, IDE предлагает установить расширение Azure Pipelines. Второй вариант зависит от окружения. Если программа замечает, что в системе установлен PostgreSQL, она может подсказать поставить расширение для работы с этой базой.

Как отмечают специалисты Koi, не все расширения из списка рекомендаций реально существуют в OpenVSX. Значит, соответствующие пространства имён издателей в реестре могут быть свободны. По словам специалистов, злоумышленник способен сыграть на доверии к подсказкам внутри IDE. Достаточно зарегистрировать незанятое имя и выложить туда вредоносное расширение. Для пользователя оно будет выглядеть как логичное и привычное предложение от самой среды разработки.

О проблеме сообщили Google, Windsurf и Cursor в конце ноября 2025 года. Cursor, как утверждается, исправил уязвимость 1 декабря. Google убрал 13 рекомендаций 26 декабря, а 1 января отметил проблему как решённую. Windsurf не дал обратную связь исследователям Koi по проблеме.

Чтобы снизить риск эксплуатации, команда Koi заняла несколько потенциально опасных пространств имён и загрузила туда «заглушки», которые ничего не делают, но блокируют возможность подмены. Речь идёт о следующих идентификаторах расширений: ms-ossdata.vscode-postgresql, ms-azure-devops.azure-pipelines, msazurermtools.azurerm-vscode-tools, usqlextpublisher.usql-vscode-ext, cake-build.cake-vscode и pkosta2005.heroku-command. Также исследователи работали с Eclipse Foundation, которая управляет OpenVSX, чтобы проверить оставшиеся упомянутые пространства имён, убрать неофициальных участников и внедрить более широкие меры защиты на уровне реестра.

Пока нет признаков, что этим разрывом уже успели воспользоваться злоумышленники до того, как о нём узнали исследователи и приняли меры. Но пользователям IDE на базе форков VSCode советуют относиться к рекомендациям расширений осторожно. Лучше вручную открывать страницу расширения в OpenVSX и проверять, кто именно является издателем и выглядит ли он достаточно надёжным.