Falha no Cursor permitia acesso remoto ao sistema da vítima via repositório malicioso

A falha 'NomShub' no Cursor não é um caso isolado: é o ponto mais recente de uma cadeia de falhas críticas que exploram a confiança cega em comandos shell built-ins, como export, cd e echo, dentro de sandboxes mal configurados. Diferente do VSCode, que isola webviews com políticas rígidas de CSP e sandboxing, o Cursor (derivado do VSCode mas com IA integrada) deixou de bloquear esses comandos mesmo com Workspace Trust desabilitado por padrão, permitindo escrita arbitrária em diretórios do usuário e manipulação de variáveis de ambiente via cursor-tunnel. Isso abriu caminho para RCE persistente usando a infraestrutura Dev Tunnels da Microsoft, algo que nem mesmo o GitHub.dev conseguiu replicar, apesar de seus problemas com tokens OAuth.

O ataque funciona em três estágios: primeiro, a abertura do repositório dispara tarefas automáticas em .vscode/tasks.json (sem aviso); segundo, o parser shouldBlockShellCommand ignora comandos internos do shell, permitindo que export PATH=... redirecione execuções; terceiro, o binário comprometido cursor-tunnel abre um túnel não autenticado para o atacante. Não há interação humana necessária após a abertura do repositório, é um verdadeiro 'zero-click' na prática, com CVSS 9.9 confirmado.

A cobertura CEVIU anterior focava em ataques de 'um clique' contra tokens OAuth no github.dev e VSCode, onde o dano dependia de interação explícita (clique em link, aprovação de prompt). A falha atual no Cursor elimina essa barreira: agora basta abrir uma pasta ou clonar um repositório. Além disso, enquanto os bugs anteriores exploravam falhas de permissão em webviews ou eventos de teclado, a NomShub explora uma falha arquitetural profunda, o uso incorreto de shell built-ins como vetores de escrita e redirecionamento dentro de um sandbox que deveria ser hermético. A correção na versão 3.0 não foi apenas um patch pontual: exigiu uma reescrita do mecanismo de avaliação de comandos, incluindo bloqueio granular de export, cd e echo mesmo quando executados com argumentos aparentemente inócuos.

Desenvolvedores brasileiros estão cada vez mais usando IDEs com IA como o Cursor para projetos corporativos em nuvem, e muitos ainda não ativam Workspace Trust manualmente, deixando pastas locais expostas por padrão. Com isso, um único repositório malicioso no GitHub pode roubar chaves SSH, tokens de AWS/GCP, credenciais de CI/CD e até dados sensíveis de bancos de dados locais acessados via extensões. O risco não é teórico: a campanha 'Miasma worm', que infectou 73 repositórios da Microsoft em 5 de junho, já usava técnicas semelhantes à NomShub para propagar payloads via hooks do Git e tasks.json. Empresas que adotaram o Cursor em escala devem auditar imediatamente se estão rodando versão 3.0 ou superior e se o Workspace Trust está habilitado por padrão em todos os ambientes de desenvolvimento.