Pesquisadores em cibersegurança identificaram uma nova extensão maliciosa no repositório Open VSX que contém um trojan de acesso remoto conhecido como SleepyDuck.
De acordo com John Tuckner, da Secure Annex, a extensão — juan-bianco.solidity-vlang (versão 0.0.7) — foi originalmente publicada em 31 de outubro de 2025 como uma biblioteca legítima.
No entanto, após atingir 14 mil downloads, foi atualizada para a versão 0.0.8, em 1º de novembro, incorporando funcionalidades maliciosas.
“O malware utiliza técnicas de evasão de sandbox e um contrato Ethereum para atualizar seu endereço de command and control, caso o endereço original seja derrubado”, explicou Tuckner.
Campanhas que distribuem extensões fraudulentas, voltadas a desenvolvedores Solidity, têm sido frequentemente detectadas tanto no Visual Studio Extension Marketplace quanto no Open VSX.
Em julho de 2025, a Kaspersky revelou que um desenvolvedor russo perdeu US$ 500 mil em criptomoedas após instalar uma extensão maliciosa via Cursor.
No caso mais recente, identificado pela empresa de segurança de extensões, o malware é ativado quando uma nova janela do editor de código é aberta ou quando um arquivo .sol é selecionado.
Ele busca o provedor Ethereum Remote Procedure Call (RPC) mais rápido para se conectar à blockchain, estabelece contato com um servidor remoto em “sleepyduck[.]xyz” — origem do nome SleepyDuck — por meio do contrato Ethereum “0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465” e inicia um loop de polling que verifica comandos a serem executados no host a cada 30 segundos.
Além disso, o malware coleta informações do sistema, como hostname, nome do usuário, endereço MAC e fuso horário, enviando esses dados para o servidor.
Caso o domínio seja tomado ou derrubado, ele possui controles de fallback que consultam uma lista pré-definida de endereços RPC Ethereum para recuperar informações do contrato e, assim, detalhes do servidor.
A extensão também pode receber uma nova configuração pelo contrato para apontar a um servidor diferente e executar um comando de emergência para todos os endpoints caso ocorra algum problema inesperado.
Esse contrato foi criado em 31 de outubro de 2025, com o agente malicioso atualizando os detalhes do servidor de “localhost:8080” para “sleepyduck[.]xyz” em quatro transações distintas.
Ainda não está claro se a contagem de downloads foi manipulada artificialmente pelos invasores para aumentar a visibilidade da extensão nos resultados de busca — uma técnica comum para enganar desenvolvedores desavisados a instalar bibliotecas maliciosas.
Esse caso surge no mesmo período em que outra investigação revelou um conjunto de cinco extensões publicadas no VS Code Extension Marketplace por um usuário identificado como “developmentinc”.
Entre elas, destaca-se uma biblioteca temática de Pokémon que baixa um script minerador em batch de um servidor externo (“mock1[.]su:443”) logo após ser instalada ou ativada, executando esse minerador via “cmd.exe”.
O script relança a si mesmo com privilégios administrativos usando PowerShell, configura exclusões no Microsoft Defender Antivirus abrangendo todas as unidades de disco de C: a Z: e faz o download do executável de mineração de Monero do servidor “mock1[.]su”, rodando-o em seguida.
As extensões associadas a essa ameaça, já removidas e não mais disponíveis para download, são:
- developmentinc.cfx-lua-vs
- developmentinc.pokemon
- developmentinc.torizon-vs
- developmentinc.minecraftsnippets
- developmentinc.kombai-vs
Usuários devem redobrar a atenção ao baixar extensões, certificando-se de que elas são provenientes de publishers confiáveis.
Em junho, a Microsoft anunciou a implementação de varreduras periódicas em todo o marketplace para proteger os usuários contra malwares.
Todas as extensões removidas do marketplace oficial podem ser consultadas na página RemovedPackages do GitHub.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...