Los investigadores de ciberseguridad han detectado una nueva extensión maliciosa en el registro Open VSX que alberga un troyano de entrada remoto llamado pato soñoliento.
Según John Tuckner de Secure Anexo, la extensión en cuestión, juan-bianco.solidity-vlang (interpretación 0.0.7), se publicó por primera vez el 31 de octubre de 2025, como una biblioteca completamente benigna que luego se actualizó a la interpretación 0.0.8 el 1 de noviembre para incluir nuevas capacidades maliciosas a posteriori de alcanzar 14.000 descargas.
“El malware incluye técnicas de diversión de sandbox y utiliza un acuerdo Ethereum para renovar su dirección de comando y control en caso de que se elimine la dirección flamante”, agregó Tuckner.
Se han detectado repetidamente campañas que distribuyen extensiones maliciosas dirigidas a desarrolladores de Solidity tanto en Visual Studio Extension Marketplace como en Open VSX. En julio de 2025, Kaspersky reveló que un desarrollador ruso perdió 500.000 dólares en activos de criptomonedas a posteriori de instalar una de esas extensiones a través de Cursor.
En el postrer caso detectado por la empresa de seguridad de extensión empresarial, el malware se activa cuando se abre una nueva ventana del editor de código o se selecciona un archivo .sol.
Específicamente, está configurado para encontrar el proveedor de indicación a procedimiento remoto (RPC) de Ethereum más rápido al que conectarse para obtener entrada a la condena de bloques, inicializar el contacto con un servidor remoto en “sleepyduck(.)xyz” (de ahí el nombre) a través de la dirección del acuerdo “0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465” e inicia un ciclo de sonsaca que verifica si hay nuevos comandos a ser ejecutado en el host cada 30 segundos.
Incluso es capaz de compilar información del sistema, como nombre de host, nombre de legatario, dirección MAC y zona horaria, y filtrar los detalles al servidor. En caso de que el dominio sea incautado o eliminado, el malware tiene controles alternativos incorporados para calar a una índice predefinida de direcciones RPC de Ethereum para extraer la información del acuerdo que puede contener los detalles del servidor.
Por otra parte, la extensión está equipada para alcanzar una nueva configuración desde la dirección del acuerdo para establecer un nuevo servidor, así como ejecutar un comando de emergencia a todos los puntos finales en caso de que ocurra poco inesperado. El acuerdo se creó el 31 de octubre de 2025 y el actor de amenazas actualizó los detalles del servidor de “localhost:8080” a “sleepyduck(.)xyz” en el transcurso de cuatro transacciones.
No está claro si los actores de amenazas inflaron artificialmente el recuento de descargas para aumentar la relevancia de la extensión en los resultados de búsqueda, una táctica que a menudo se adopta para aumentar la popularidad y engañar a los desarrolladores desprevenidos para que instalen una biblioteca maliciosa.
El incremento se produce cuando la compañía además reveló detalles de otro conjunto de cinco extensiones, esta vez publicadas en VS Code Extension Marketplace por un legatario llamado “developmentinc”, incluida una biblioteca con temática de Pokémon que descarga un script minero por lotes desde un servidor extranjero (“mock1(.)su:443”) tan pronto como se instala o habilita, y ejecuta el minero usando “cmd.exe”.
El archivo de script, por otra parte de reiniciarse con privilegios de administrador usando PowerShell y configurar las exclusiones de Microsoft Defender Antivirus agregando cada signo de dispositivo desde C: hasta Z:, descarga un ejecutable de minería de Monero desde “mock1(.)su” y lo ejecuta.
Las extensiones cargadas por el actor de amenazas, que ahora ya no están disponibles para descargar, se enumeran a continuación:
- desarrolloinc.cfx-lua-vs
- desarrolloinc.pokemon
- desarrolloinc.torizon-vs
- desarrolloinc.minecraftsnippets
- desarrolloinc. kombai-vs
Se recomienda a los usuarios que tengan cuidado al descargar extensiones y se aseguren de que sean de editores confiables. Microsoft, por su parte, anunció en junio que está implementando estudio periódicos en todo el mercado para proteger a los usuarios contra el malware. Cada extensión eliminada del mercado oficial se puede ver desde la página RemovedPackages en GitHub.
