Les équipes de Bitdefender ont mis en évidence une campagne de hack complexe sur Windsurf IDE en utilisant une extension malveillante. D’après les analyses de Bitdefender, cette extension se fait passer pour un outil de support du langage R en imitant une extension légitime. Elle permet le déploiement d’un malware de type vol de données et une fois installée, l’attaque repose sur un mécanisme en plusieurs étapes utilisant NodeJS. Le code malveillant, chiffré et dissimulé, n’est activé qu’après installation afin d’échapper aux solutions de détection traditionnelles. Les charges utiles ne sont pas hébergées sur des infrastructures classiques, mais récupérées via la blockchain Solana, ce qui complique significativement leur blocage et leur démantèlement. 

L'attaque est assez complexe et plutôt bien cachée. L'extension saine s'appelle REditorSupport. Les hackers utilisent une technique bien connue : la typosquatting. En effet, l'extension malvaillante a un nom très proche : reditorsupporter. La 1ere action de l'extension après son isntallation est de déchiffrer le code embarqué pour collecter les données sensibles. La référence au Russe peut faire penser à un groupe russe. 

Le malware profite d'une exéction NodeJS sans sandbox pour s'infiltrer dans votre système. 

La séquence de l'attaque est la suivante :

1 / téléchargement de l'extension et installation

2 / exécution du paquet NodeJS compromis

3 / exécution de scripts Powershell

4 / persistence du malware avec une tâche planifiée

5 / utilisation d'un code JS en Base 64

6 / payloard chiffré en AES

7 / exécution dynamique 

8 / récupérer des données à distance depuis Solana (une blockchain utilisée par les hackers)

Analyse complète : https://www.bitdefender.com/en-us/blog/labs/windsurf-extension-malware-solana