【安全资讯】Snyk被指控上传恶意软件包，可能针对AI代码编辑器Cursor

概要：

开发者安全公司Snyk近日卷入一起争议，因其可能通过上传"恶意"软件包至NPM，针对AI代码编辑器公司Cursor进行攻击。安全研究员Paul McCarty在检测恶意软件包时发现，用户"sn4k-s3c"上传的三个软件包被标记为恶意，且名称似乎专门针对Cursor。

主要内容：

McCarty指出，这些软件包包括cursor-retrieval、cursor-always-local和cursor-shadow-workspace，安装后会收集系统数据并发送至攻击者控制的网络服务。例如，cursor-shadow-workspace软件包会捕获env命令的输出，暴露GitHub凭证、AWS密钥和NPM令牌等敏感信息。此类软件包通常旨在对特定公司实施依赖混淆攻击。

虽然这些软件包已从NPM移除，但McCarty声称其元数据表明，恶意软件包的作者使用了Snyk.io的电子邮件地址。Snyk的公关团队表示正在调查此事，而Cursor方面未作回应。尽管论坛上出现了许多阴谋论，但也有观点认为Snyk可能只是试图测试并报告Cursor的漏洞。

Cursor的联合创始人Arvid Lunnemark表示，Cursor并未聘请Snyk进行安全审计，但在事件发生后联系了Snyk，并收到了道歉。他指出，Snyk上传的软件包名称与Cursor的捆绑扩展相同，且这些扩展并未上传至注册表。Lunnemark认为，Snyk可能是为了提高对潜在依赖混淆漏洞的意识，但这种方式显得相当不负责任。