關鍵指標
16.22
熱度指數-
影響級別Medium
-
影響範圍Global
-
最後更新2025-11-04
關鍵影響
積極影響 (4)
網路安全部門
智慧合約稽核和區塊鏈安全提供商
帕洛阿爾托網絡股份有限公司。
CrowdStrike控股股份有限公司。
消極影響 (2)
乙太坊(ETH)
開發工具和IDE平臺
總影響數: 7 |
積極: 4 |
消極: 2
事件概述
一款偽裝成正規函式庫的惡意軟體擴充套件正破壞開發者的環境。該惡意軟體利用以太坊作為指揮和控制手段,能避開沙箱偵測,並特別針對Solidity程式設計社群。此事件突顯了代碼庫的脆弱性及對開發者可進行複雜攻擊的潛力。
採集記錄
惡意VSX擴充功能「SleepyDuck」鎖定Solidity開發者
2025-11-04 16:05
在Open VSX註冊表中發現了一款名為「SleepyDuck」的惡意VSX擴充功能。該擴充功能最初於2025年10月31日以無害函式庫形式發布,並於11月1日更新,加入了遠端存取木馬。該擴充功能(版本0.0.8,名為「juanbianco solidityvlang」)利用以太坊來維護其指令伺服器。此惡意軟體已被下載14,000次,具有沙盒逃避功能,並透過以太坊合約更新其指令與控制位址。它透過Visual Studio擴充市集及Open VSX上的惡意擴充功能,鎖定Solidity開發者。2025年7月,卡巴斯基報告一名俄羅斯開發者因此惡意軟體損失了50萬美元加密貨幣。此惡意擴充功能於開啟新的程式碼編輯視窗或選取`.sol`檔案時啟動,並搜尋最快的以太坊RPC供應商來存取區塊鏈,透過特定合約位址連線至'sleepyduck.xyz'遠端伺服器。文中描述的惡意行為與以太坊地址`0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465`相關聯。惡意軟體每30秒輪詢一次,檢查主機上的新指令,能收集並外洩系統資訊,如主機名稱、用戶名稱、MAC位址和時區,傳送至伺服器。如主要網域被封鎖或關閉,該惡意軟體內建備援控制,會聯繫多個以太坊RPC位址以取得合約資訊。此擴充功能能更新伺服器設定並執行緊急指令。該合約於2025年10月31日建立,後來威脅行為者透過四次交易將伺服器從'localhost:8080'更改為'sleepyduck.xyz'。
總記錄數: 1