Key Metrics
16.22
Heat Index-
Impact LevelMedium
-
Scope LevelGlobal
-
Last Update2025-11-04
Key Impacts
Positive Impacts (4)
Negative Impacts (2)
Event Overview
امتداد برمجي خبيث يتنكر في صورة مكتبة شرعية قد اخترق بيئات المطورين. يستغل البرمجية الخبيثة شبكة Ethereum للتحكم والتوجيه، ويتجنب الكشف في بيئات الحماية المؤقتة، ويستهدف مجتمع برمجة Solidity. تبرز هذه الحادثة هشاشة مستودعات الأكواد وإمكانية وقوع هجمات متقدمة على المطورين.
Collect Records
امتداد VSX الخبيث 'SleepyDuck' يستهدف مطوري Solidity
تم اكتشاف امتداد VSX خبيث باسم 'SleepyDuck' في سجل Open VSX. نُشر في البداية كمكتبة غير ضارة في 31 أكتوبر 2025، ثم تم تحديثه في 1 نوفمبر ليشمل حصان طروادة للوصول عن بُعد. يستخدم الامتداد 'juanbianco solidityvlang' (الإصدار 0.0.8) شبكة إثريوم لإدارة خادم الأوامر الخاص به. تم تحميل هذا البرمجية الخبيثة 14,000 مرة، وهي تستخدم تقنيات لتجنب بيئات الحماية (sandbox) وعقد إثريوم لتحديث عنوان التحكم والأوامر. تستهدف هذه البرمجية مطوري Solidity عبر امتدادات خبيثة في سوق Visual Studio Extension وOpen VSX. في يوليو 2025، أفادت شركة Kaspersky بأن مطورًا روسيًا خسر 500,000 دولار من العملات المشفرة جراء هذا البرنامج الخبيث. يُفعل الامتداد الخبيث عند فتح نافذة محرر كود جديدة أو اختيار ملف `.sol`. يبحث عن أسرع مزود RPC لإثريوم للوصول إلى سلسلة الكتل ويتصل بخادمٍ بعيد على 'sleepyduck.xyz' باستخدام عنوان عقدة محدد. يصف النص عملية برمجية خبيثة مرتبطة بعنوان إثريوم `0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465`. تقوم البرمجية بالدوران كل 30 ثانية للتحقق من أوامر جديدة على الجهاز. يمكنها جمع وتسريب معلومات النظام مثل اسم المضيف واسم المستخدم وعنوان MAC والمنطقة الزمنية إلى الخادم. إذا تم الاستيلاء على النطاق الأساسي أو تعطيله، لدى البرمجية آليات احتياطية للاتصال بقائمة عناوين RPC لإثريوم لاسترجاع معلومات العقد. يمكن للامتداد تحديث إعدادات الخادم وتنفيذ أوامر طارئة. تم إنشاء العقد في 31 أكتوبر 2025، وتم تحديثه بواسطة الفاعل الخبيث الذي غيّر الخادم من 'localhost:8080' إلى 'sleepyduck.xyz' في أربع معاملات.