Kelompok peretas bernama WhiteCobra kembali menjadi sorotan setelah diketahui menanamkan 24 ekstensi berbahaya di marketplace Visual Studio Code (VSCode) serta registri Open VSX yang juga digunakan oleh editor kode Cursor dan Windsurf. Serangan ini masih berlangsung karena setiap kali ekstensi berbahaya dihapus, kelompok tersebut segera mengunggah versi baru untuk menggantikannya.
Serangan yang Terselubung
Ekstensi jahat ini dikemas dengan tampilan profesional—mulai dari ikon, deskripsi detail, hingga jumlah unduhan tinggi—sehingga terlihat sah. Core developer Ethereum, Zak Cole, mengaku dompet kriptonya terkuras setelah menggunakan ekstensi bernama contractshark.solidity-lang pada editor Cursor. Ekstensi tersebut sempat mencatat lebih dari 54.000 unduhan di OpenVSX sebelum terungkap berbahaya.
WhiteCobra sebelumnya juga dikaitkan dengan pencurian kripto senilai $500.000 pada Juli 2025 melalui ekstensi palsu di Cursor, menurut laporan perusahaan keamanan endpoint Koi Security.
Daftar Ekstensi Berbahaya
Koi Security menemukan sejumlah ekstensi berbahaya dalam kampanye terbaru WhiteCobra, di antaranya:
- Open-VSX (Cursor/Windsurf):
ChainDevTools.solidity-pro,kilocode-ai.kilo-code,nomic-fdn.hardhat-solidity,oxc-vscode.oxc,juan-blanco.solidity,kineticsquid.solidity-ethereum-vsc,ETHFoundry.solidityethereum,Crypto-Extensions.solidity, dan lainnya. - VSCode Marketplace:
JuanFBlanco.awswhh,ETHFoundry.etherfoundrys,MarcusLockwood.wgbk,VitalikButerin-EthFoundation.blan-co,Rojo.rojo-roblox-vscode, serta beberapa varian yang meniru proyek sah.
Strategi mereka banyak bergantung pada impersonasi proyek populer untuk memancing pengguna melakukan instalasi.
Mekanisme Serangan
Setelah terpasang, ekstensi menjalankan file utama (extension.js) yang terlihat seperti boilerplate bawaan VSCode. Namun, terdapat satu baris perintah tersembunyi yang mengalihkan eksekusi ke prompt.js. Dari sana, ekstensi mengunduh payload tahap berikutnya melalui Cloudflare Pages.
Payload ini disesuaikan dengan sistem operasi:
- Windows: menjalankan PowerShell untuk mengeksekusi Python script, lalu memuat shellcode yang meluncurkan malware LummaStealer.
- macOS (ARM & Intel): memuat file Mach-O berbahaya yang menjalankan malware lokal.
LummaStealer dikenal menargetkan aplikasi dompet kripto, ekstensi browser, kredensial yang tersimpan di peramban, hingga data aplikasi pesan instan.
Operasi Terorganisir
Berdasarkan bocoran playbook internal, WhiteCobra menjalankan operasi dengan struktur rapi: mereka menetapkan target pendapatan antara $10.000 hingga $500.000, menyiapkan infrastruktur C2 (command-and-control), hingga merancang strategi rekayasa sosial dan promosi palsu untuk mempercepat penyebaran. Koi Security menyebut kelompok ini mampu meluncurkan kampanye baru hanya dalam kurang dari tiga jam.
Peringatan untuk Pengguna
Peneliti keamanan memperingatkan bahwa sistem review pada marketplace ekstensi masih lemah dan mudah dimanipulasi. Jumlah unduhan, rating, dan ulasan positif dapat dipalsukan untuk menimbulkan kepercayaan palsu.
Pengguna disarankan untuk:
- Selalu memeriksa apakah ekstensi meniru nama proyek resmi.
- Waspada terhadap proyek baru yang tiba-tiba mendapat banyak unduhan dan ulasan positif.
- Mengutamakan ekstensi dari pengembang terpercaya dengan rekam jejak jelas.
Sumber: Koi Security