پژوهشگران امنیت سایبری از کشف یک افزونهی آلوده در رجیستری Open VSX خبر دادهاند که درون خود یک تروجان دسترسی از راه دور (RAT) به نام بدافزار SleepyDuck را پنهان کرده است.
به گفتهی John Tuckner از شرکت Secure Annex، این افزونه با شناسهی juan-bianco.solidity-vlang ابتدا در تاریخ ۳۱ اکتبر ۲۰۲۵ در نسخهی ۰.۰.۷ به عنوان یک کتابخانهی بیخطر منتشر شد. اما تنها دو روز بعد، در نسخهی ۰.۰.۸ بهروزرسانی شد و قابلیتهای مخرب به آن افزوده شد؛ در حالی که پیش از آن ۱۴ هزار بار دانلود شده بود.
«این بدافزار از تکنیکهای فرار از محیط سندباکس استفاده میکند و از قرارداد هوشمند اتریوم برای بهروزرسانی آدرس سرور فرمان و کنترل (C2) در صورت مسدود شدن آدرس اصلی بهره میگیرد.» — Tuckner
🎯 هدف توسعهدهندگان Solidity
در ماههای اخیر، چندین کمپین انتشار افزونههای آلوده برای توسعهدهندگان Solidity شناسایی شدهاند — چه در بازار رسمی Visual Studio Code و چه در Open VSX.
در ژوئیهی ۲۰۲۵، شرکت Kaspersky گزارش داد که یک توسعهدهنده روسی پس از نصب یکی از این افزونهها از طریق Cursor، بیش از ۵۰۰ هزار دلار ارز دیجیتال خود را از دست داده است.
در نمونهی تازه، بدافزار به محض باز شدن یک پنجرهی جدید در ادیتور یا انتخاب یک فایل .sol فعال میشود.
⚙️ نحوهی عملکرد بدافزار SleepyDuck
این اکسپلویت به گونهای پیکربندی شده تا سریعترین Ethereum RPC provider را یافته و به بلاکچین متصل شود. سپس ارتباط با سرور از راه دور sleepyduck[.]xyz را از طریق قرارداد هوشمند با آدرس زیر برقرار میکند:
0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465
پس از اتصال، یک حلقهی بررسی (polling loop) هر ۳۰ ثانیه یکبار اجرا میشود تا فرمانهای جدید از سرور را دریافت کند.
این بدافزار همچنین اطلاعات سیستم قربانی — شامل نام میزبان، نام کاربری، آدرس MAC و منطقه زمانی — را جمعآوری و به سرور ارسال میکند.
در صورت از کار افتادن دامنهی اصلی، SleepyDuck از فهرست پشتیبان Ethereum RPC برای واکشی جزئیات سرور از درون قرارداد استفاده میکند.
🧠 قابلیتهای تکمیلی
SleepyDuck میتواند:
از درون قرارداد، پیکربندی جدید و سرور جدید دریافت کند،
و در شرایط اضطراری، فرمان واحدی را به همهی نقاط آلوده ارسال نماید.
این قرارداد در تاریخ ۳۱ اکتبر ۲۰۲۵ ایجاد شده و مهاجم در چهار تراکنش متوالی، جزئیات سرور را از localhost:8080 به sleepyduck[.]xyz تغییر داده است.
📉 دستکاری آمار دانلود؟
هنوز مشخص نیست آیا تعداد ۱۴ هزار دانلود واقعی بوده یا توسط مهاجم جعل شده تا افزونه در نتایج جستوجو معتبرتر به نظر برسد.
Tuckner در گفتوگو با The Hacker News گفته است:
«احتمالاً آمار دانلود دستکاری شده تا در نتایج جستوجوی Cursor یا Open VSX رتبهی بالاتری بگیرد.»
⚠️ سایر افزونههای آلوده
شرکت Secure Annex همچنین از کشف ۵ افزونهی مخرب دیگر در مارکت VS Code خبر داده که توسط کاربری با نام developmentinc منتشر شدهاند. یکی از آنها با تم Pokémon طراحی شده و پس از نصب، یک اسکریپت استخراج رمزارز را از سرور mock1[.]su:443 دانلود و اجرا میکند.
این اسکریپت با PowerShell خود را با سطح دسترسی Administrator دوباره اجرا کرده، Microsoft Defender را غیرفعال میکند و فایل استخراج رمزارز Monero را اجرا مینماید.
افزونههای مخرب شناساییشده عبارتند از:
developmentinc.cfx-lua-vs
developmentinc.pokemon
developmentinc.torizon-vs
developmentinc.minecraftsnippets
developmentinc.kombai-vs
🧩 توصیه امنیتی
به توسعهدهندگان توصیه میشود:
پیش از نصب هر افزونهای، منبع منتشرکننده را بررسی کنند.
تنها از انتشاردهندگان معتبر و تأییدشده در VS Code Marketplace یا Open VSX استفاده نمایند.
مایکروسافت نیز در ژوئن ۲۰۲۵ اعلام کرد که اسکنهای دورهای سراسری را برای شناسایی بدافزار در مارکتها آغاز کرده است. فهرست افزونههای حذفشده از مارکت رسمی در صفحهی GitHub مربوط به RemovedPackages در دسترس است.
