Source: https://thehackernews.com/2025/11/malicious-vsx-extension-sleepyduck-uses.html
🛡 概要
最近、Open VSXレジストリに新たな悪意のある拡張機能が発見され、その中にリモートアクセス型トロイの木馬「SleepyDuck」が含まれています。この拡張機能は、最初は無害なライブラリとして公開されましたが、後に悪意のある機能を追加されて更新されました。これにより、開発者は知らず知らずのうちにシステムに侵入される危険にさらされることになります。
🔍 技術詳細
この悪意のある拡張機能「juan-bianco.solidity-vlang」(バージョン0.0.7)は、2025年10月31日に最初に公開され、翌日にはバージョン0.0.8に更新されました。更新後には、サンドボックス回避技術を含む悪意のある機能が追加され、Ethereum契約を利用してコマンドとコントロールのアドレスを更新する仕組みが組み込まれています。具体的には、拡張機能は新しいコードエディタウィンドウが開かれるか、.solファイルが選択されるとトリガーされます。また、EthereumのRPCプロバイダーを探し、リモートサーバー「sleepyduck[.]xyz」と接続し、30秒ごとに新しいコマンドを確認するポーリングループを開始します。
⚠ 影響
このマルウェアは、ホストのシステム情報(ホスト名、ユーザー名、MACアドレス、タイムゾーンなど)を収集し、サーバーに送信します。ドメインが押収された場合には、あらかじめ定義されたEthereum RPCアドレスのリストを使用して契約情報を取得するためのフォールバック機能も備えています。さらに、拡張機能は契約アドレスから新しい構成を取得し、新しいサーバーを設定することができます。このような挙動は、開発者のシステムに深刻な影響を及ぼす可能性があります。
🛠 対策
ユーザーは、拡張機能をダウンロードする際には注意を払い、信頼できる発行者からのものであることを確認することが重要です。Microsoftは、2025年6月にユーザーをマルウェアから保護するために、定期的なマーケットプレイス全体のスキャンを実施することを発表しました。また、公式マーケットプレイスから削除された拡張機能の一覧はGitHubのRemovedPackagesページで確認できます。開発者は、拡張機能のインストールに関して慎重になる必要があります。
