CursorJack: Präparierte Deeplinks ermöglichen Codeausführung in Cursor IDE
Sicherheitsforscher von Proofpoint haben gezeigt, wie sich der Installationsmechanismus des KI-Code-Editors Cursor für Angriffe missbrauchen lässt. Der Hersteller sieht keinen Handlungsbedarf.
Sicherheitsforscher von Proofpoint haben eine Angriffsmethode namens „CursorJack“ veröffentlicht, die einen Mechanismus des KI-Code-Editors Cursor ausnutzt. Cursor, ein auf künstliche Intelligenz spezialisierter Code-Editor des Unternehmens Anysphere, bietet sogenannte Deeplinks an, also spezielle URLs, die beim Anklicken direkt die Entwicklungsumgebung öffnen und die Installation von MCP-Servern (Model Context Protocol) anstoßen. Laut Proofpoint lässt sich dieser eigentlich für Komfort gedachte Mechanismus durch Social Engineering missbrauchen, um Schadcode auf den Rechnern von Entwicklern auszuführen.
Die Forscher betonen, dass es sich nicht um eine Zero-Click-Schwachstelle handelt: Der Angriff erfordere sowohl einen Klick des Nutzers auf einen manipulierten Link als auch die Bestätigung eines Installationsdialogs. Die Ergebnisse stammen aus einer kontrollierten Testumgebung, wie Proofpoint in seinem Blogbeitrag ausdrücklich anmerkt.
Wie der Angriff funktioniert
Die Angriffskette beginnt mit einer Phishing-E-Mail, die einen scheinbar harmlosen HTTP-Link enthält. Dieser leitet auf eine Zwischenseite weiter, die per JavaScript automatisch einen Cursor-Deeplink auslöst. Der Deeplink enthält eine base64-kodierte MCP-Konfiguration mit einem schädlichen Befehl.
Sobald Cursor auf dem Rechner installiert ist, registriert die Anwendung den Protokoll-Handler cursor:// beim Betriebssystem. Jeder Klick auf einen solchen Link öffnet daher die IDE und übergibt die vollständige URL. Im Installationsdialog sieht der Nutzer zwar eine Vorschau der Konfiguration und den Hinweis, dass der MCP-Server Befehle mit den Rechten des Nutzers ausführen wird – doch laut Proofpoint ist diese Warnung bei allen Deeplinks identisch, unabhängig davon, ob der Link aus einer vertrauenswürdigen Quelle stammt oder manipuliert wurde. Eine visuelle Unterscheidung zwischen legitimen und bösartigen Installationslinks gibt es in der Standardansicht nicht, so die Forscher.
In ihrem Proof-of-Concept demonstrierten die Securityexperten Rachel Rabin, Anna Akselevich und Stanislav Silberberg eine vollständige Angriffskette: Der im Deeplink eingebettete Befehl lud über curl ein Batch-Skript von einem vom Angreifer kontrollierten Server herunter. Dieses Skript fungierte als sogenannter Stager und holte eine Metasploit-Payload nach, die eine Meterpreter-Sitzung etablierte – mit vollem Zugriff auf das Dateisystem, Zugangsdaten und die Möglichkeit zur lateralen Bewegung im Netzwerk.
Zwei Angriffswege: Lokaler Befehl oder Remote-Server
Die MCP-Konfiguration in Cursor kann auf zwei Wegen missbraucht werden. Über den Parameter „command“ lässt sich direkte Codeausführung mit den Rechten der IDE erreichen. Der einmal eingetragene Befehl werde bei jedem Neustart von Cursor erneut ausgeführt und überdauere so IDE-Neustarts, was mit früheren Community-Berichten (CVE-2025-54136) übereinstimme.
Alternativ können Angreifer über den Parameter „URL“ einen bösartigen Remote-MCP-Server einschleusen. Dieser Weg sei zwar weniger mächtig als lokale Befehlsausführung, schaffe aber einen Brückenkopf für weiterführende Angriffe wie sogenanntes Tool Poisoning oder serverübergreifende Manipulation, bei geringerer Sichtbarkeit für Sicherheitswerkzeuge.
Verschleierung und Tarnung
Proofpoint beschreibt mehrere Taktiken, mit denen Angreifer ihre Payloads tarnen könnten. So ließen sich bekannte Entwickler-Tools wie npx oder uvx als Tarnmantel nutzen, um den Schadcode als gewöhnliche Paketinstallation erscheinen zu lassen. Auch bei der Payload-Auslieferung gebe es Varianten: Staged Payloads, die von einem externen Server nachgeladen werden, hinterlassen weniger lokale Spuren, benötigen aber eine aktive Kommando-und-Kontroll-Infrastruktur. Eingebettete Payloads vermeiden externe Verbindungen, sind aber statisch und leichter analysierbar.
Eine bereits behobene Schwachstelle (CVE-2025-54133) habe es zudem ermöglicht, Befehlsargumente im Installationsdialog vollständig zu verbergen. Angreifer könnten weiterhin Kodierungstechniken oder überlange Befehlszeilen einsetzen, um schädliche Parameter außerhalb des sichtbaren Vorschaufensters zu platzieren.
Die Forscher heben hervor, dass Entwickler besonders attraktive Angriffsziele darstellen. Ihre Arbeitsrechner enthielten häufig SSH-Schlüssel, API-Tokens, Cloud-Zugangsdaten, Quellcode und Zugang zu Produktionssystemen. Gleichzeitig habe die zunehmende Verbreitung von KI-Coding-Assistenten dazu geführt, dass selbst erfahrene Entwickler daran gewöhnt seien, Bestätigungsdialoge routiniert abzunicken – eine Konditionierung, die Angreifer ausnutzen könnten.
Geforderte Gegenmaßnahmen und Cursors Reaktion
Proofpoint fordert grundlegende Sicherheitsverbesserungen im MCP-Ökosystem, die direkt in die Framework-Architektur eingebettet werden müssten. Konkret schlagen die Forscher ein feiner abgestuftes Berechtigungsmodell oder Containerisierung vor, um Befehle vom Host-Betriebssystem zu isolieren. Zudem brauche es ein vertrauenswürdiges MCP-Ökosystem mit Signierung und verifizierten Herausgebern, analog zu den Stores für Browser-Erweiterungen oder Apps. Deeplinks aus nicht vertrauenswürdigen Quellen sollten mit derselben Vorsicht behandelt werden wie unbekannte ausführbare Dateien. Als Analogie verweisen die Forscher auf Makros: Auch dort hätten Angreifer jahrelang Nutzer zur Aktivierung manipuliert, bis Microsoft Dokumente aus dem Internet mit dem Mark-of-the-Web kennzeichnete und strengeren Ausführungsrichtlinien unterwarf.
Cursor selbst sieht offenbar keinen Handlungsbedarf. Laut Proofpoint wurde der Hersteller vor der Veröffentlichung informiert, schloss den Bericht jedoch als „out-of-scope“ beziehungsweise „Not Applicable“ im Rahmen seiner Richtlinien. Proofpoint betont, in keiner geschäftlichen Beziehung zu Cursor beziehungsweise Anysphere zu stehen. Der Proof-of-Concept-Code wurde auf GitHub veröffentlicht.
(Quelle: www.proofpoint.com/us/blog/threat-insight/cursorjack-weaponizing-deeplinks-exploit-cursor-ide)
Transparenzhinweis: Dieser Artikel wurde mit Unterstützung von KI-Werkzeugen erstellt. Die inhaltliche Verantwortung, Überprüfung der Fakten und redaktionelle Bearbeitung liegen bei der Redaktion.