网络安全事件分析 - 三个恶意npm软件包针对AI驱动的源代码编辑器Cursor的macOS版本用户进行攻击 总下载量超过3200次 其中sw-cur下载量2771次 sw-cur1下载量307次 aiide-cur下载量163次 [1] - 恶意软件包伪装成提供"最便宜的Cursor API"的开发者工具 通过远程服务器窃取用户凭据并获取加密负载 覆盖Cursor的main.js文件 同时禁用自动更新以保持持续性 [1][4] - 攻击流程包括获取用户Cursor凭据 从远程服务器获取恶意代码 替换合法代码 并重启应用程序使篡改生效 最终允许攻击者在平台环境中执行任意代码 [4][5] 攻击技术细节 - 攻击专门针对macOS系统 通过修改/Applications/Cursor.app/路径下的内部文件如main.js 利用编辑器可信运行时环境执行恶意代码 [8] - 三个软件包共享核心后门逻辑 包括硬编码域名 凭据窃取 加密加载器检索 解密例程和文件补丁序列 仅最终调用方式存在差异 [4] - sw-cur软件包额外采取终止Cursor进程和禁用自动更新的措施 确保恶意代码持续生效 [5] 攻击动机与目标群体 - 攻击者利用开发者对AI的兴趣和寻求廉价访问AI模型的心理 以"最便宜的Cursor API"为诱饵吸引目标用户 [11] - Cursor提供对Claude Gemini GPT-4等大型语言模型的访问 高级模型按次收费(如GPT-4o每次0.3美元) 部分用户可能寻求非官方集成方式降低成本 [11] - 攻击主要针对个人开发者和企业环境 可能造成凭据被盗 代码泄露 恶意软件传播等风险 在企业环境中风险更高 [12][13] 行业趋势与防御建议 - 出现新兴攻击趋势 恶意行为者通过流氓npm软件包修改已安装的合法软件 即使删除恶意库后攻击仍可持续 [14] - 基于补丁的入侵成为新的攻击手段 恶意代码继承应用程序信任 获得API令牌 签名密钥等权限 [14] - 防御需标记可疑软件包行为 结合版本固定 实时依赖项扫描和文件完整性监控 [14] 其他相关发现 - 发现另外两个恶意npm软件包"pumptoolforvolumeandcomment"(下载625次)和"debugdogs"(下载119次) 针对macOS系统窃取加密货币相关数据 [15] - 两个软件包通过Telegram机器人泄露数据 采用"包装器"模式传播 核心恶意代码不变 [15][16]