Los investigadores de ciberseguridad han detectado una nueva extensión maliciosa en el registro Open VSX que alberga un troyano de acceso remoto llamado SleepyDuck.
Según John Tuckner de Secure Anexo, la extensión en cuestión, juan-bianco.solidity-vlang (versión 0.0.7), se publicó por primera vez como una biblioteca completamente benigna el 31 de octubre de 2025, luego alcanzó 14.000 descargas antes de actualizarse a la versión 0.0.8 con una nueva funcionalidad maliciosa el 1 de noviembre.
«El malware incluye técnicas de evasión de sandbox y aprovecha los contratos de Ethereum para actualizar las direcciones de comando y control en caso de que se elimine la dirección original», agregó Tuckner.
Hemos detectado repetidamente campañas dirigidas a desarrolladores de Solidity que distribuyen extensiones maliciosas tanto en Visual Studio Extension Marketplace como en Open VSX. En julio de 2025, Kaspersky reveló que un desarrollador ruso perdió 500.000 dólares en activos de criptomonedas después de instalar dicha extensión a través de Cursor.
En el último caso detectado por una empresa de seguridad de extensiones empresariales, el malware se activa cuando se abre una nueva ventana del editor de código o se selecciona un archivo .sol.
Específicamente, encuentra el proveedor de llamada a procedimiento remoto (RPC) de Ethereum más rápido al que conectarse para obtener acceso a la cadena de bloques, y conecta el control remoto en «sleepyduck(.)xyz» (de ahí el nombre) a través de la dirección del contrato «0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465». Está configurado para iniciar una conexión con el servidor e iniciar un ciclo de sondeo que verifica lo siguiente: Nuevo Los comandos se ejecutan en el host cada 30 segundos.
También puede recopilar información del sistema como nombre de host, nombre de usuario, dirección MAC, zona horaria, etc. y filtrar los detalles a los servidores. Si el dominio está ocupado o eliminado, el malware tiene controles de respaldo integrados y accede a una lista predefinida de direcciones RPC de Ethereum para extraer información del contrato que puede contener detalles del servidor.
Además, esta extensión tiene la capacidad de alcanzar nuevas configuraciones desde direcciones de contrato para configurar nuevos servidores, así como ejecutar comandos de emergencia contra todos los endpoints en caso de eventos inesperados. El contrato se creó el 31 de octubre de 2025 y el atacante actualizó los detalles del servidor de «localhost:8080» a «sleepyduck(.)xyz» mediante cuatro transacciones.
No está claro si los atacantes inflaron artificialmente los números de descarga para aumentar la relevancia de la extensión en los resultados de búsqueda. Esta es una táctica que a menudo se emplea para aumentar la popularidad engañando a desarrolladores desprevenidos para que instalen bibliotecas maliciosas.
Este desarrollo se produce al mismo tiempo que la compañía también reveló detalles de otro conjunto de cinco extensiones, esta vez publicadas en VS Code Extension Marketplace por un usuario llamado «developmentinc». Contiene una biblioteca con temática de Pokémon que descarga un script minero por lotes desde un servidor externo (‘mock1(.)su:443’) y ejecuta el minero usando ‘cmd.exe’ tan pronto como se instala o habilita.
Además de reiniciarse con privilegios de administrador usando PowerShell y configurar las exclusiones de Microsoft Defender Antivirus agregando todas las letras de unidad de C: a Z:, este archivo de script descarga y ejecuta el ejecutable de minería de Monero desde «mock1(.)su».
Las extensiones cargadas por actores de amenazas ya no están disponibles para descargar, pero se enumeran a continuación.
Development Co., Ltd. cfx-lua-vs Development Co., Ltd. Pokemon Development Co., Ltd. Trizon-vs Development Co., Ltd. Minecraft Snippet Development Co., Ltd. kombai-vs
Se recomienda a los usuarios que tengan cuidado al descargar extensiones y se aseguren de que provengan de editores acreditados. Microsoft anunció en junio que comenzaría análisis regulares en todo el mercado para proteger a los usuarios del malware. Todas las extensiones que se han eliminado del mercado oficial se pueden encontrar en la página RemovedPackages en GitHub.
Source link
