Киберугроза SleepyDuck: вредоносное расширение для IDE использует блокчейн Ethereum для устойчивости

Атака началась с расширения juan-bianco.solidity-vlang, которое первоначально было опубликовано 31 октября как безвредный инструмент для работы с языком программирования Solidity. Однако уже 1 ноября злоумышленники выпустили обновление до версии 0.0.8, добавив вредоносный функционал после того, как расширение успели скачать около 14 000 раз. В последующих обновлениях, включая версию 0.1.3, активационные события были изменены на ["*"], что обеспечивает более частое выполнение кода.

Технический анализ показывает, что SleepyDuck использует сложные методы противодействия анализу. После установки вредоносное расширение активируется при открытии нового окна редактора или выборе файла с расширением .sol. Механизм блокировки через создание временного файла предотвращает многократный запуск в одном сеансе, после чего выполняется поддельная функция webpack.init().

Основной функционал трояна включает четыре ключевых действия: поиск самого быстрого Ethereum RPC-провайдера, инициализацию экземпляра sleepyduck, обновление конфигурации и запуск цикла опроса. Сбор информации о системе включает получение имени хоста, имени пользователя, MAC-адреса и временной зоны, что позволяет обходить песочницы анализа.

Особенностью SleepyDuck является использование блокчейн-технологии для устойчивости. По умолчанию троян соединяется с командным сервером sleepyduck.xyz с интервалом опроса 30 секунд. Однако если основной канал управления становится недоступным, расширение обращается к смарт-контракту Ethereum по адресу 0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465, где хранится резервная конфигурация. Эта функция позволяет злоумышленникам оперативно изменять параметры C2-сервера, интервал опроса и даже выполнять экстренные команды на всех зараженных системах.

Доменное имя sleepyduck.xyz было зарегистрировано 1 ноября 2025 года, тогда как Ethereum-контракт создан на день раньше - 31 октября. В истории транзакций контракта зафиксировано пять изменений адреса C2, от локального хоста до основного домена.

Проблема вредоносных расширений для IDE, маскирующихся под инструменты для Solidity, существует с июля 2025 года. В Open VSX было обнаружено более 20 подозрительных расширений, связанных с тематикой Solidity. Автор SleepyDuck уже имел историю публикации подобных расширений, которые впоследствии удалялись с платформы.

Ситуация усугубляется тем, что в редакторах кода типа Cursor пользователям сложно отличить легитимные расширения от вредоносных при поиске по запросу "solidity". Относительная простота кода SleepyDuck, отсутствие обфускации и минификации указывают на возможную тестовую стадию атаки, что вызывает опасения экспертов относительно будущих, более изощренных версий подобных угроз.

Данный инцидент демонстрирует новую тенденцию в киберпреступности - использование децентрализованных технологий для создания устойчивых ботнетов. Специалисты по безопасности рекомендуют проявлять особую осторожность при установке расширений из официальных маркетплейсов, проверять репутацию разработчиков и отслеживать необычную активность в системах разработки.

Domains

• sleepyduck.xyz

Extension

• juan-bianco.solidity-vlang

Ethereum

• 0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465