关键指标
16.22
热度指数-
影响级别Medium
-
影响范围Global
-
最后更新2025-11-04
关键影响
积极影响 (4)
网络安全部门
智能合约审计和区块链安全提供商
帕洛阿尔托网络股份有限公司。
CrowdStrike控股股份有限公司。
消极影响 (2)
以太坊(ETH)
开发工具和IDE平台
总影响数: 7 |
积极: 4 |
消极: 2
事件概述
一款伪装成正规库的恶意软件扩展正在破坏开发者环境。该恶意软件利用以太坊进行指挥控制,能够规避沙箱检测,并专门针对Solidity编程社区。此次事件凸显了代码库的脆弱性以及针对开发者的复杂攻击潜力。
采集记录
恶意VSX扩展“SleepyDuck”针对Solidity开发者
2025-11-04 16:05
在Open VSX注册表中发现了名为“SleepyDuck”的恶意VSX扩展。该扩展最初于2025年10月31日作为无害库发布,随后在11月1日更新,加入了远程访问特洛伊木马。该扩展(版本0.0.8,名为'juanbianco solidityvlang')利用以太坊维护其命令服务器。该恶意软件已被下载14,000次,具备沙箱逃避能力,并借助以太坊合约更新其命令与控制地址。它通过Visual Studio扩展市场和Open VSX上的恶意扩展针对Solidity开发者。2025年7月,卡巴斯基报告称一名俄罗斯开发者因该恶意软件损失50万美元加密货币。此恶意扩展在打开新的代码编辑器窗口或选择`.sol`文件时激活,寻找最快的以太坊RPC提供商访问区块链,并通过特定合约地址连接到'sleepyduck.xyz'远程服务器。文中描述的恶意活动关联以太坊地址`0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465`,恶意软件每30秒轮询一次以检查主机上的新命令,能收集并泄露主机名、用户名、MAC地址及时区等系统信息至服务器。如主域名被封禁或下线,该恶意软件内置备选机制联系多个以太坊RPC地址以获取合约信息。此扩展可以更新服务器配置并执行紧急命令。该合约于2025年10月31日创建,随后威胁行为者通过四次交易将服务器地址从'localhost:8080'更改为'sleepyduck.xyz'。
总记录数: 1