Trojan akses jarak jauh yang dijuluki SleepyDuck, dan menyamar sebagai ekstensi Solidity yang terkenal di registri sumber terbuka Open VSX, menggunakan kontrak pintar Ethereum untuk membangun saluran komunikasi dengan penyerang.
Open VSX adalah registri berbasis komunitas untuk ekstensi yang kompatibel dengan VS Code, yang populer dengan lingkungan pengembangan terintegrasi (IDE) yang didukung AI seperti Cursor dan Windsurf.
Ekstensi ini masih ada di Open VSX sebagai ‘juan-bianco.solidity-vlang’, meskipun dengan peringatan dari platform, dan telah diunduh lebih dari 53.000 kali.
Saat pertama kali dikirimkan pada tanggal 31 Oktober, ekstensi tersebut tidak berbahaya dan menerima kemampuan berbahaya dengan pembaruan pada hari berikutnya, ketika jumlah unduhan telah mencapai 14.000.
Menurut laporan dari platform keamanan ekstensi Secure Annex, fitur penting di SleepyDuck adalah penggunaan kontrak Ethereum untuk memperbarui alamat server perintah dan kontrol (C2) dan mencapai persistensi jangka panjang.
Bahkan jika server C2 default di bebek mengantuk[.]xyz dihapus, kontrak pada blockchain Ethereum memungkinkan malware untuk tetap berfungsi.
Sejak diajukan ke Open VSX dengan versi 0.0.7 hingga versi 0.1.3 diterbitkan pada tanggal 2 November, juan-bianco.solidity-vlang paket telah diunduh 53.439 kali dan hanya memiliki satu peringkat bintang 5 dari pembuatnya.
Sumber: BleepingComputer
Perlu dicatat bahwa penulis malic
Kode berbahaya aktif saat editor memulai, saat file Solidity dibuka, atau saat pengguna menjalankan perintah kompilasi Solidity.
Setelah aktivasi, ia membuat file kunci untuk dijalankan satu kali per host dan memanggil fungsi ‘webpack.init()’ palsu dari ‘extension.js’ agar tampak sah, namun kenyataannya, ia memuat muatan berbahaya.
Sumber: Lampiran Aman
Menurut Lampiran Amankomponen jahat di SleepyDuck mengumpulkan data sistem (nama host, nama pengguna, alamat MAC, dan zona waktu) dan menyiapkan kotak pasir eksekusi perintah.
Para peneliti mengatakan bahwa ketika diinisialisasi, malware menemukan penyedia RPC Ethereum tercepat untuk membaca kontrak pintar dengan informasi C2, memulai instance sleepyduck, memperbarui dengan konfigurasi valid saat ini, dan memulai polling loop.
Blockchain Ethereum digunakan untuk redundansi C2, jadi jika server perintah utama offline, malware akan membaca instruksi yang diperbarui langsung dari blockchain, termasuk alamat server C2 baru atau interval komunikasi yang diubah.
Sumber: Amankan Anex
Para peneliti juga mengatakan bahwa fungsi polling akan mengirimkan data tentang sistem dalam permintaan POST dan mencari “perintah untuk dijalankan dari respons”.
Popularitas Open VSX yang semakin meningkat telah menempatkannya di radar para peretas, menerima banyak kiriman berbahaya yang menargetkan pengembang yang tidak menaruh curiga.
Baru-baru ini, platform mengumumkan serangkaian peningkatan keamanan untuk menjadikannya lebih aman bagi penggunanya, termasuk memperpendek masa pakai token, dengan cepat mencabut kredensial yang bocor, pemindaian otomatis, dan berbagi informasi penting dengan VS Code tentang ancaman yang muncul.
Pengembang perangkat lunak harus berhati-hati saat mengunduh ekstensi VS Code, hanya mempercayai penerbit terkemuka dan repositori resmi mereka.
7 Praktik Terbaik Keamanan untuk MCP
Karena MCP (Model Context Protocol) menjadi standar untuk menghubungkan LLM ke alat dan data, tim keamanan bergerak cepat untuk menjaga keamanan layanan baru ini.
Lembar contekan gratis ini menguraikan 7 praktik terbaik yang dapat Anda mulai gunakan hari ini.
