Kártékony kód a fejlesztői bővítményben
Az Open VSX közösségi regiszter, ahol fejlesztők milliói töltenek le bővítményeket olyan környezetekhez, mint a VS Code, a Cursor vagy a Windsurf. A SleepyDuckkal fertőzött bővítményt „juan-bianco.solidity-vlang” néven 53 439-szer töltötték le, és azóta csak figyelmeztetéssel érhető el a platformon. Kezdetben teljesen ártalmatlan volt, de már másnap fertőzött frissítést kapott, mire a letöltések száma elérte a 14 000-et.
Okosszerződéses kommunikáció, tartós fertőzés
A SleepyDuck egyik legveszélyesebb tulajdonsága, hogy az Ethereum blokkláncát használja vezérlőszerverének frissítésére és hosszú távú túlélésre. Még ha az alapértelmezett szervert (sleepyduck[.]xyz) le is kapcsolják, az okosszerződésből mindig kiolvasható az aktuális parancs és az új szervercím.
A kód a szerkesztő megnyitásakor, Solidity-fájl betöltésekor vagy fordítási parancs futtatásakor indul el. Egy zárolófájlt hoz létre, hogy csak egyszer fusson egy gépen, majd egy látszólag ártatlan „webpack.init()” függvény mögé rejti a rosszindulatú payloadot.
Adatlopás, vezérlés, sandbox
A trójai rendszeradatokat gyűjt, például a gazdagép nevét, a felhasználónevet, a MAC-címet és az időzónát, majd parancsok végrehajtására alkalmas környezetet hoz létre. A SleepyDuck a leggyorsabb Ethereum RPC-szolgáltatót választja ki, hogy okosszerződésből mindig naprakész utasításokat olvasson, és folyamatosan figyeli, mikor érkezik végrehajtandó parancs.
Az Open VSX népszerűsége miatt egyre gyakrabban kerülnek célkeresztbe a fejlesztők, több káros bővítményt is azonosítottak már. A platform új biztonsági intézkedéseket vezetett be, például rövidebb tokenélettartamot, gyorsabb jogosultságrevonást és automatikus kártevőszűrést, valamint megosztja a legfrissebb fenyegetések adatait a VS Code fejlesztőivel.
Fokozott óvatosság ajánlott
A fejlesztőknek érdemes csak megbízható készítőktől és hivatalos tárolókból letölteni bővítményeket, különben könnyen újabb, rejtett hátsó ajtót kaphatnak az asztalukra.
