&emoji=&slug=kriptovijesti&button_colour=b532ed&font_colour=ffffff&font_family=Poppins&outline_colour=ffffff&coffee_colour=FFDD00)
Istraživači kibernetičke sigurnosti označili su novo zlonamjerno proširenje u Open VSX registru koje sadrži trojanca za udaljeni pristup tzv. pospanka.
Prema Johnu Tuckneru iz Secure Annexa, ekstenzija o kojoj je riječ, juan-bianco.solidity-vlang (verzija 0.0.7), prvi je put objavljena 31. listopada 2025., kao potpuno benigna biblioteka koja je naknadno ažurirana na verziju 0.0.8 1. studenog kako bi uključila nove zlonamjerne mogućnosti nakon što je dosegla 14.000 preuzimanja.
“Zlonamjerni softver uključuje tehnike izbjegavanja sandboxa i koristi Ethereum ugovor za ažuriranje svoje naredbene i kontrolne adrese u slučaju da se originalna adresa ukloni”, dodao je Tuckner.
Kampanje koje distribuiraju lažna proširenja usmjerena na programere Solidityja opetovano su otkrivene na Visual Studio Extension Marketplace i Open VSX. U srpnju 2025. Kaspersky je otkrio da je ruski programer izgubio 500.000 dolara u kriptovaluti nakon što je instalirao jedno takvo proširenje putem Cursora.
U posljednjoj instanci koju je otkrila tvrtka za sigurnost proširenja poduzeća, zlonamjerni softver se pokreće kada se otvori novi prozor uređivača koda ili se odabere datoteka .sol.
Konkretno, konfiguriran je za pronalaženje najbržeg pružatelja Ethereum Remote Procedure Call (RPC) s kojim se može povezati kako bi se dobio pristup blockchainu, inicijalizira kontakt s udaljenim poslužiteljem na “sleepyduck”[.]xyz” (otuda naziv) preko adrese ugovora “0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465,” i pokreće petlju prozivanja koja provjerava ima li novih naredbi koje se izvršavaju na glavnom računalu svakih 30 sekundi.
Također je sposoban prikupljati informacije o sustavu, kao što su ime hosta, korisničko ime, MAC adresa i vremenska zona, te prenijeti detalje na poslužitelj. U slučaju da se domena zaplijeni ili ukloni, zlonamjerni softver ima ugrađene zamjenske kontrole za dopiranje do unaprijed definiranog popisa Ethereum RPC adresa kako bi izvukao podatke o ugovoru koji mogu sadržavati detalje poslužitelja.
Štoviše, proširenje je opremljeno za postizanje nove konfiguracije s ugovorne adrese za postavljanje novog poslužitelja, kao i za izvršavanje hitne naredbe svim krajnjim točkama u slučaju da se dogodi nešto neočekivano. Ugovor je sastavljen 31. listopada 2025., pri čemu je akter prijetnje ažurirao podatke o poslužitelju s “localhost:8080” na “sleepyduck[.]xyz” tijekom četiri transakcije.
Nije jasno jesu li akteri prijetnji umjetno napuhali broj preuzimanja kako bi povećali relevantnost proširenja u rezultatima pretraživanja – taktika koja se često koristi za povećanje popularnosti kako bi prevarili programere koji ništa ne sumnjaju da instaliraju zlonamjernu biblioteku.
Razvoj dolazi nakon što je tvrtka također otkrila pojedinosti o još jednom skupu od pet ekstenzija, ovaj put objavljenih na VS Code Extension Marketplace od strane korisnika pod imenom “developmentinc”, uključujući biblioteku na temu Pokémona koja preuzima skupni rudar skripte s vanjskog poslužitelja (“mock1[.]su:443”) čim se instalira ili omogući i pokreće rudar koristeći “cmd.exe.”
Datoteka skripte, osim što se ponovno pokreće s administratorskim povlasticama koristeći PowerShell i konfigurira izuzeća Microsoft Defender Antivirusa dodavanjem svakog slova pogona od C: do Z:, preuzima izvršnu datoteku rudarenja Monera iz “mock1[.]su” i pokreće ga.
Proširenja koja je učitao akter prijetnje, a sada više nisu dostupna za preuzimanje, navedena su u nastavku –
- developmentinc.cfx-lua-vs
- developmentinc.pokemon
- developmentinc.torizon-vs
- developmentinc.minecraftsnippets
- developmentinc.kombai-vs
Korisnicima se savjetuje da budu oprezni kada je riječ o preuzimanju proširenja i da budu od pouzdanih izdavača. Microsoft je sa svoje strane još u lipnju objavio da pokreće periodična skeniranja cijelog tržišta kako bi zaštitio korisnike od zlonamjernog softvera. Svako uklonjeno proširenje sa službenog tržišta može se vidjeti na stranici RemovedPackages na GitHubu.
 &emoji=&slug=kriptovijesti&button_colour=b532ed&font_colour=ffffff&font_family=Comic&outline_colour=ffffff&coffee_colour=FFDD00)
