Cybersecurity-onderzoekers hebben een nieuwe kwaadaardige extensie in het Open VSX-register gemarkeerd die een trojan voor externe toegang bevat, genaamd Slaperige Eend.
Volgens John Tuckner van Secure Annex werd de extensie in kwestie, juan-bianco.solidity-vlang (versie 0.0.7), voor het eerst gepubliceerd op 31 oktober 2025, als een volledig goedaardige bibliotheek die vervolgens op 1 november werd bijgewerkt naar versie 0.0.8 om nieuwe kwaadaardige mogelijkheden op te nemen na het bereiken van 14.000 downloads.
“De malware omvat sandbox-ontduikingstechnieken en maakt gebruik van een Ethereum-contract om het commando- en controleadres bij te werken voor het geval het oorspronkelijke adres wordt verwijderd”, voegde Tuckner eraan toe.
Campagnes die frauduleuze extensies verspreiden en gericht zijn op Solidity-ontwikkelaars zijn herhaaldelijk gedetecteerd op zowel de Visual Studio Extension Marketplace als Open VSX. In juli 2025 maakte Kaspersky bekend dat een Russische ontwikkelaar $500.000 aan cryptocurrency-activa verloor nadat hij een dergelijke extensie via Cursor had geïnstalleerd.
In het laatste exemplaar dat door het beveiligingsbedrijf voor bedrijfsextensies is gedetecteerd, wordt de malware geactiveerd wanneer een nieuw code-editorvenster wordt geopend of een .sol-bestand wordt geselecteerd.
Het is specifiek geconfigureerd om de snelste Ethereum Remote Procedure Call (RPC)-provider te vinden waarmee verbinding kan worden gemaakt om toegang te krijgen tot de blockchain, contact te initialiseren met een externe server op “sleepyduck(.)xyz” (vandaar de naam) via het contractadres “0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465”, en start een polling-lus die controleert op nieuwe opdrachten die elke 30 seconden op de host moeten worden uitgevoerd.
Het is ook in staat systeeminformatie te verzamelen, zoals hostnaam, gebruikersnaam, MAC-adres en tijdzone, en de details naar de server te exfiltreren. In het geval dat het domein in beslag wordt genomen of verwijderd, heeft de malware ingebouwde fallback-controles om een vooraf gedefinieerde lijst met Ethereum RPC-adressen te bereiken om de contractinformatie te extraheren die de servergegevens kan bevatten.
Bovendien is de extensie uitgerust om vanaf het contractadres een nieuwe configuratie te bereiken, een nieuwe server in te stellen en een noodcommando uit te voeren naar alle eindpunten als er iets onverwachts gebeurt. Het contract kwam tot stand op 31 oktober 2025, waarbij de bedreigingsacteur de servergegevens bijwerkte van “localhost:8080” naar “sleepyduck(.)xyz” in de loop van vier transacties.
Het is niet duidelijk of de downloadaantallen kunstmatig zijn opgeblazen door de bedreigingsactoren om de relevantie van de extensie in de zoekresultaten te vergroten – een tactiek die vaak wordt toegepast om de populariteit te vergroten en zo nietsvermoedende ontwikkelaars te verleiden een kwaadaardige bibliotheek te installeren.
De ontwikkeling komt doordat het bedrijf ook details heeft bekendgemaakt van een andere set van vijf extensies, deze keer gepubliceerd op de VS Code Extension Marketplace door een gebruiker met de naam ‘developmentinc’, inclusief een bibliotheek met Pokémon-thema die een batchscript-miner downloadt van een externe server (“mock1(.)su:443”) zodra deze is geïnstalleerd of ingeschakeld, en de miner uitvoert met behulp van “cmd.exe”.
Het scriptbestand start niet alleen zichzelf opnieuw op met beheerdersrechten met behulp van PowerShell en configureert de uitsluitingen van Microsoft Defender Antivirus door elke stationsletter van C: tot en met Z: toe te voegen, maar downloadt ook een uitvoerbaar bestand voor Monero-mining van “mock1(.)su” en voert het uit.
De extensies die door de bedreigingsacteur zijn geüpload en nu niet langer beschikbaar zijn om te downloaden, worden hieronder vermeld:
- developmentinc.cfx-lua-vs
- ontwikkelinginc.pokemon
- ontwikkelinginc.torizon-vs
- developmentinc.minecraftsnippets
- developmentinc.kombai-vs
Gebruikers wordt geadviseerd voorzichtig te zijn als het gaat om het downloaden van extensies en ervoor te zorgen dat deze van vertrouwde uitgevers zijn. Microsoft kondigde op zijn beurt in juni al aan dat het periodieke marktbrede scans gaat uitvoeren om gebruikers tegen malware te beschermen. Elke verwijderde extensie van de officiële marktplaats kan worden bekeken via de RemovedPackages-pagina op GitHub.
