一款名为SleepyDuck的复杂远程访问木马已侵入Open VSX IDE扩展市场,针对使用Cursor和Windsurf等代码编辑器的开发者。
该恶意软件伪装成名为juan-bianco.solidity-vlang 的合法Solidity扩展,利用名称抢注技术欺骗毫无防备的用户。
该扩展最初于10月31日以0.0.7版本发布,看似无害;但在11月1日被恶意更新至0.0.8版本,在累积14,000次下载后获得恶意功能。
它伪装成Solidity编程语言的开发工具——Solidity常用于区块链和智能合约开发,攻击者利用这一热门领域扩大针对加密货币开发者和区块链工程师的受害群体。
此威胁的特别危险性在于:它能持久化远程控制受感染Windows系统,同时通过多种规避技术保持隐蔽。
Secure Annex分析师发现,该恶意软件的独特持久化机制利用以太坊区块链合约维持命令与控制(C2)基础设施。
这种创新方法使攻击者即使在主域名被查封或下线后,仍能更新控制服务器地址。
恶意软件默认与sleepyduck[.]xyz通信,以30秒轮询间隔接收威胁 actor 的指令。
感染流程:从激活到数据窃取
当用户打开新代码编辑器窗口或选择.sol文件时,扩展被激活并触发感染。
恶意软件会收集关键机器信息,包括主机名、用户名、MAC地址和时区数据,以此规避安全研究员常用的沙箱分析环境。
以太坊驱动的持久化机制
SleepyDuck通过区块链技术实现高级持久化,代表了恶意软件基础设施的危险进化。
威胁通过将备用配置数据存储在以太坊合约地址0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465维持韧性。
当与主C2服务器连接失败时,恶意软件会查询此不可篡改的区块链合约,获取所有受感染端点的更新服务器地址、轮询间隔甚至紧急命令。
恶意软件的激活函数会创建锁定文件确保单次执行,随后调用伪装的webpack.init() 函数初始化恶意载荷。
初始化阶段,它从硬编码列表中选择最快的以太坊RPC提供商,通过vm.createContext(sandbox) 建立命令执行沙箱,然后启动轮询循环等待攻击者指令。
这种架构使攻击者完全远程控制受感染系统,同时通过无法轻易摧毁的去中心化基础设施维持运营安全。
防御建议:
- 立即检查Open VSX扩展,卸载juan-bianco.solidity-vlang (尤其是0.0.8版本)。
- 对Solidity开发工具仅从官方市场(如VS Code Marketplace)下载,并验证开发者身份。
- 监控与sleepyduck[.]xyz的网络连接,阻止以太坊合约地址0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465的交互。
- 启用代码编辑器的扩展权限审计,限制未知扩展的系统访问权限。
发表评论
您还未登录,请先登录。
登录