Популярний реєстр Open VSX виявив шкідливе розширення для Solidity, яке під виглядом легітимного плагіна встановлює бекдор SleepyDuck. Зловмисники використали оновлення розширення після початкової публікації, а керування командним сервером реалізували через Ethereum-смартконтракт, що дозволяє зберігати контроль навіть після відключення основного C2-домену.
У каталозі Open VSX виявили шкідливе розширення juan-bianco.solidity-vlang, яке маскувалося під популярний Solidity-плагін для VS Code-сумісних середовищ, включно з Cursor та Windsurf. Спочатку воно було безпечним, однак уже наступного дня після публікації отримало оновлення зі шкідливим кодом — на той момент його завантажили понад 14 тисяч розробників, а загалом — 53 439 разів.
Malware SleepyDuck активується під час запуску редактора, відкриття Solidity-файлів або запуску команди компіляції. Після активації:
створює lock-файл для одноразового запуску на хості
імітує виклик webpack.init()
завантажує прихований RAT-модуль
збирає системні дані (hostname, MAC, username, timezone)
створює середовище для виконання команд
знаходить найшвидший Ethereum RPC-провайдер
зчитує смартконтракт для отримання C2-адреси
переходить у polling-режим
Таким чином, навіть після блокування домену sleepyduck[.]xyz інфраструктура продовжує працювати та оновлювати інструкції через блокчейн.
Open VSX додав попередження, але пакет певний час залишався доступним, що підвищувало ризики для тих, хто використовує автоматичні оновлення й довіряє репозиторію без перевірок.
Open VSX — популярна платформа для розширень з відкритим кодом, якою активно користуються розробники смартконтрактів і AI-IDE. За останній період це вже не перший випадок появи malware-плагінів, що робить реєстр привабливою мішенню для атак на ланцюг постачання. У відповідь сервіс впроваджує посилений контроль: скорочення часу дії токенів, швидке відкликання доступів, автоматичні перевірки та обмін даними з VS Code щодо нових загроз.
Інцидент із SleepyDuck показує, наскільки вразливою лишається екосистема інструментів розробників: навіть популярні репозиторії можуть містити бекдори, що активуються після оновлень. Розробникам необхідно перевіряти авторів розширень, слідкувати за журналами змін та уникати встановлення пакунків із невідомих джерел, адже атаки на IDE стають одним із головних векторів компрометації.
