Výzkumníci v oblasti kybernetické bezpečnosti upozornili na nové škodlivé rozšíření v registru Open VSX, které obsahuje trojského koně vzdáleného přístupu s názvem SleepyDuck.
Podle Johna Tucknera ze společnosti Secure Annex bylo dotčené rozšíření juan-bianco.solidity-vlang (verze 0.0.7) poprvé publikováno 31. října 2025 jako zcela neškodná knihovna, která byla následně aktualizována na verzi 0.0.8 dne 1. listopadu, aby zahrnovala nové škodlivé funkce poté, co dosáhla 14 000 stažení.
„Malware zahrnuje techniky vyhýbání se sandboxu a využívá Ethereum kontrakt k aktualizaci své adresy řídicího serveru v případě, že původní adresa bude odstraněna,“ dodal Tuckner.
Kampaně šířící podvodná rozšíření zaměřená na vývojáře Solidity byly opakovaně detekovány jak na Visual Studio Extension Marketplace, tak na Open VSX.
Jak malware funguje
V nejnovějším případě detekovaném firmou zabývající se bezpečností podnikových rozšíření se malware spouští při otevření nového okna editoru kódu nebo výběru souboru .sol.
Konkrétně je nakonfigurován tak, aby našel nejrychlejšího poskytovatele Ethereum Remote Procedure Call (RPC) pro připojení za účelem získání přístupu k blockchainu, inicializoval kontakt se vzdáleným serverem na adrese „sleepyduck[.]xyz“ (odtud název) prostřednictvím adresy kontraktu „0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465″ a spustil cyklus dotazování, který každých 30 sekund kontroluje nové příkazy k provedení na hostiteli.
Je také schopen shromažďovat systémové informace, jako je název hostitele, uživatelské jméno, MAC adresa a časové pásmo, a exfiltrovat tyto údaje na server. V případě, že je doména zabavena nebo odstraněna, má malware vestavěné záložní ovládací prvky pro oslovení předdefinovaného seznamu Ethereum RPC adres za účelem extrakce informací o kontraktu, které mohou obsahovat podrobnosti o serveru.
Rozšíření je navíc vybaveno tak, aby získalo novou konfiguraci z adresy kontraktu pro nastavení nového serveru, stejně jako pro provedení nouzového příkazu všem koncovým bodům v případě, že dojde k něčemu neočekávanému.
Manipulace s počty stažení
Není jasné, zda byly počty stažení uměle navýšeny útočníky za účelem zvýšení relevance rozšíření ve výsledcích vyhledávání – taktika často přijímaná ke zvýšení popularity, aby byli neopatrní vývojáři nalákáni k instalaci škodlivé knihovny.
Společnost také zveřejnila podrobnosti o další sadě pěti rozšíření, tentokrát publikovaných na VS Code Extension Marketplace uživatelem s názvem „developmentinc“, včetně knihovny s motivem Pokémonů, která stahuje dávkový skript těžaře z externího serveru („mock1[.]su:443″) ihned po instalaci nebo povolení a spouští jej pomocí „cmd.exe.“
Soubor skriptu kromě opětovného spuštění s administrátorskými oprávněními pomocí PowerShellu a konfigurace výjimek Microsoft Defender Antivirus přidáním každého písmene jednotky od C: do Z: stahuje spustitelný soubor pro těžbu Monera z „mock1[.]su“ a spouští jej.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
