Los investigadores de ciberseguridad han detectado una nueva extensión maliciosa en el registro Open VSX que alberga un troyano de camino remoto llamado pato soñoliento.
Según John Tuckner de Secure Anexo, la extensión en cuestión, juan-bianco.solidity-vlang (lectura 0.0.7), se publicó por primera vez el 31 de octubre de 2025, como una biblioteca completamente benigna que después se actualizó a la lectura 0.0.8 el 1 de noviembre para incluir nuevas capacidades maliciosas luego de alcanzar 14.000 descargas.
«El malware incluye técnicas de despreocupación de sandbox y utiliza un entendimiento Ethereum para modernizar su dirección de comando y control en caso de que se elimine la dirección innovador», agregó Tuckner.
Se han detectado repetidamente campañas que distribuyen extensiones maliciosas dirigidas a desarrolladores de Solidity tanto en Visual Studio Extension Marketplace como en Open VSX. En julio de 2025, Kaspersky reveló que un desarrollador ruso perdió 500.000 dólares en activos de criptomonedas luego de instalar una de esas extensiones a través de Cursor.
En el zaguero caso detectado por la empresa de seguridad de extensión empresarial, el malware se activa cuando se abre una nueva ventana del editor de código o se selecciona un archivo .sol.
Específicamente, está configurado para encontrar el proveedor de señal a procedimiento remoto (RPC) de Ethereum más rápido al que conectarse para obtener camino a la cautiverio de bloques, inicializar el contacto con un servidor remoto en «sleepyduck(.)xyz» (de ahí el nombre) a través de la dirección del entendimiento «0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465» e inicia un ciclo de penetración que verifica si hay nuevos comandos a ser ejecutado en el host cada 30 segundos.
Todavía es capaz de resumir información del sistema, como nombre de host, nombre de heredero, dirección MAC y zona horaria, y filtrar los detalles al servidor. En caso de que el dominio sea incautado o eliminado, el malware tiene controles alternativos incorporados para entrar a una serie predefinida de direcciones RPC de Ethereum para extraer la información del entendimiento que puede contener los detalles del servidor.
Encima, la extensión está equipada para alcanzar una nueva configuración desde la dirección del entendimiento para establecer un nuevo servidor, así como ejecutar un comando de emergencia a todos los puntos finales en caso de que ocurra poco inesperado. El entendimiento se creó el 31 de octubre de 2025 y el actor de amenazas actualizó los detalles del servidor de «localhost:8080» a «sleepyduck(.)xyz» en el transcurso de cuatro transacciones.
No está claro si los actores de amenazas inflaron artificialmente el recuento de descargas para aumentar la relevancia de la extensión en los resultados de búsqueda, una táctica que a menudo se adopta para aumentar la popularidad y engañar a los desarrolladores desprevenidos para que instalen una biblioteca maliciosa.
El avance se produce cuando la compañía igualmente reveló detalles de otro conjunto de cinco extensiones, esta vez publicadas en VS Code Extension Marketplace por un heredero llamado «developmentinc», incluida una biblioteca con temática de Pokémon que descarga un script minero por lotes desde un servidor forastero («mock1(.)su:443») tan pronto como se instala o habilita, y ejecuta el minero usando «cmd.exe».
El archivo de script, por otra parte de reiniciarse con privilegios de administrador usando PowerShell y configurar las exclusiones de Microsoft Defender Antivirus agregando cada letrilla de pelotón desde C: hasta Z:, descarga un ejecutable de minería de Monero desde «mock1(.)su» y lo ejecuta.
Las extensiones cargadas por el actor de amenazas, que ahora ya no están disponibles para descargar, se enumeran a continuación:
- desarrolloinc.cfx-lua-vs
- desarrolloinc.pokemon
- desarrolloinc.torizon-vs
- desarrolloinc.minecraftsnippets
- desarrolloinc. kombai-vs
Se recomienda a los usuarios que tengan cuidado al descargar extensiones y se aseguren de que sean de editores confiables. Microsoft, por su parte, anunció en junio que está implementando descomposición periódicos en todo el mercado para proteger a los usuarios contra el malware. Cada extensión eliminada del mercado oficial se puede ver desde la página RemovedPackages en GitHub.
