Un cheval de Troie d’accès à distance surnommé SleepyDuck, et déguisé en extension Solidity bien connue dans le registre open source Open VSX, utilise un contrat intelligent Ethereum pour établir un canal de communication avec l’attaquant.
Open VSX est un registre communautaire pour les extensions compatibles avec VS Code, qui sont populaires auprès des environnements de développement intégrés (IDE) alimentés par l’IA comme Cursor et Windsurf.
L’extension est toujours présente sur Open VSX sous le nom de ‘juan-bianco.solidité-vlang’, mais avec un avertissement de la plateforme, et a été téléchargé plus de 53 000 fois.
Lorsqu’elle a été initialement soumise le 31 octobre, l’extension était inoffensive et a reçu des capacités malveillantes avec une mise à jour le lendemain, alors que le nombre de téléchargements avait déjà atteint 14 000.
Selon un rapport de la plate-forme de sécurité d’extension Secure Annex, une caractéristique notable de SleepyDuck est l’utilisation de contrats Ethereum pour mettre à jour son adresse de serveur de commande et de contrôle (C2) et obtenir une persistance à long terme.
Même si le serveur C2 par défaut à sleepyduck[.]xyz est retiré, le contrat sur la blockchain Ethereum permet au malware de rester fonctionnel.
Depuis sa soumission à Open VSX avec la version 0.0.7 et jusqu’à la version 0.1.3 publiée le 2 novembre, le juan-bianco.solidity-vlang package a été téléchargé 53 439 fois et n’a qu’une seule note de 5 étoiles de la part de son auteur.
Il convient de noter que l’auteur du malic
Le code malveillant s’active au démarrage de l’éditeur, lorsqu’un fichier Solidity est ouvert ou lorsque l’utilisateur exécute la commande Solidity compile.
Lors de l’activation, il crée un fichier de verrouillage à exécuter une fois par hôte et appelle un faux « webpack ».init () extension ‘fonction de’.js ‘ pour le faire paraître légitime, mais en réalité, il charge une charge utile malveillante.
Selon Secure Annex, le composant malveillant de SleepyDuck collecte les données système (nom d’hôte, nom d’utilisateur, adresse MAC et fuseau horaire) et configure un bac à sable d’exécution de commandes.
Les chercheurs disent qu’une fois initialisé, le logiciel malveillant trouve le fournisseur RPC Ethereum le plus rapide pour lire le contrat intelligent avec les informations C2, démarre une instance sleepyduck, se met à jour avec une configuration valide actuelle et démarre une boucle d’interrogation.
La blockchain Ethereum est utilisée pour la redondance C2, donc si le serveur de commandes principal se déconnecte, le logiciel malveillant lit les instructions mises à jour directement à partir de la blockchain, y compris une nouvelle adresse de serveur C2 ou des intervalles de communication modifiés.
Les chercheurs disent également que la fonction d’interrogation enverra des données sur le système dans une requête POST et recherchera « une commande à exécuter à partir de la réponse. »
La popularité croissante d’Open VSX l’a placé sur le radar des pirates, recevant de multiples soumissions malveillantes ciblant des développeurs sans méfiance.
Récemment, la plate-forme a annoncé un ensemble d’améliorations de la sécurité pour la rendre plus sûre pour ses utilisateurs, notamment la réduction de la durée de vie des jetons, la révocation rapide des informations d’identification divulguées, des analyses automatisées et le partage d’informations clés avec VS Code sur les menaces émergentes.
Les développeurs de logiciels doivent faire preuve de prudence lors du téléchargement des extensions VS Code, en ne faisant confiance qu’aux éditeurs réputés et à leurs référentiels officiels.