Siber güvenlik araştırmacıları, Open VSX kayıt defterinde, adı verilen uzaktan erişim truva atını barındıran yeni bir kötü amaçlı uzantıyı işaretlediler. Uykulu Ördek.
Secure Annex’ten John Tuckner’a göre, söz konusu uzantı juan-bianco.solidity-vlang (sürüm 0.0.7), tamamen zararsız bir kitaplık olarak ilk olarak 31 Ekim 2025’te yayınlandı ve daha sonra 14.000 indirmeye ulaştıktan sonra yeni kötü amaçlı yetenekler içerecek şekilde 1 Kasım’da sürüm 0.0.8’e güncellendi.
Tuckner, “Kötü amaçlı yazılım, korumalı alandan kaçınma teknikleri içeriyor ve orijinal adresin kaldırılması durumunda komut ve kontrol adresini güncellemek için bir Ethereum sözleşmesi kullanıyor.” diye ekledi.
Solidity geliştiricilerini hedef alan sahte uzantılar dağıtan kampanyalar, hem Visual Studio Extension Marketplace’te hem de Open VSX’te defalarca tespit edildi. Temmuz 2025’te Kaspersky, Rus bir geliştiricinin Cursor aracılığıyla böyle bir uzantı yükledikten sonra kripto para birimi varlıklarında 500.000 dolar kaybettiğini açıkladı.
Kurumsal uzantı güvenlik firması tarafından tespit edilen son örnekte, kötü amaçlı yazılım, yeni bir kod düzenleyici penceresi açıldığında veya bir .sol dosyası seçildiğinde tetikleniyor.
Özellikle, blok zincirine erişim elde etmek için bağlanılacak en hızlı Ethereum Uzaktan Prosedür Çağrısı (RPC) sağlayıcısını bulmak ve “sleepyduck” adresindeki uzak bir sunucuyla bağlantıyı başlatmak üzere yapılandırılmıştır.[.]”0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465″ sözleşme adresi aracılığıyla “.xyz” (dolayısıyla adı) alır ve her 30 saniyede bir ana bilgisayarda yürütülecek yeni komutları kontrol eden bir yoklama döngüsünü başlatır.
Ayrıca ana bilgisayar adı, kullanıcı adı, MAC adresi ve saat dilimi gibi sistem bilgilerini toplama ve ayrıntıları sunucuya aktarma yeteneğine de sahiptir. Etki alanının ele geçirilmesi veya kaldırılması durumunda, kötü amaçlı yazılım, sunucu ayrıntılarını tutabilecek sözleşme bilgilerini çıkarmak için önceden tanımlanmış bir Ethereum RPC adresleri listesine ulaşmak için yerleşik geri dönüş kontrollerine sahiptir.
Üstelik uzantı, yeni bir sunucu ayarlamak için sözleşme adresinden yeni bir konfigürasyona ulaşabilecek ve beklenmedik bir durum meydana geldiğinde tüm uç noktalara acil durum komutu uygulayabilecek donanıma sahiptir. Sözleşme, tehdit aktörünün sunucu ayrıntılarını “localhost:8080″den “sleepyduck”a güncellemesiyle 31 Ekim 2025’te oluşturuldu[.]Dört işlem boyunca “.xyz”.
İndirme sayılarının, uzantının arama sonuçlarındaki alaka düzeyini artırmak için tehdit aktörleri tarafından yapay olarak şişirilip artırılmadığı açık değil. Bu taktik, şüpheli olmayan geliştiricileri kötü amaçlı bir kitaplık yüklemeleri için kandırmak amacıyla popülerliği artırmak için sıklıkla benimsenir.
Geliştirme, şirketin aynı zamanda harici bir sunucudan toplu komut dosyası madencisini indiren Pokémon temalı bir kitaplık da dahil olmak üzere “developmentinc” adlı bir kullanıcı tarafından VS Code Extension Marketplace’te yayınlanan beş uzantıdan oluşan başka bir setin ayrıntılarını da açıklamasıyla birlikte geliyor (“mock1″)[.]su:443”) yüklenir veya etkinleştirilir etkinleştirilmez “cmd.exe”yi kullanarak madenciyi çalıştırır.
Betik dosyası, PowerShell’i kullanarak kendisini yönetici ayrıcalıklarıyla yeniden başlatmanın ve C:’den Z:’ye kadar her sürücü harfini ekleyerek Microsoft Defender Antivirus hariç tutmalarını yapılandırmanın yanı sıra, “mock1″den bir Monero madenciliği yürütülebilir dosyası indirir[.]su” ve onu çalıştırır.
Tehdit aktörü tarafından yüklenen ve artık indirilemeyen uzantılar aşağıda listelenmiştir:
- developmentinc.cfx-lua-vs
- developmentinc.pokemon
- developmentinc.torizon-vs
- developmentinc.minecraft parçacıkları
- geliştirme inc. Kombai-vs
Kullanıcıların, uzantıları indirirken dikkatli olmaları ve bunların güvenilir yayıncılardan olduğundan emin olmaları önerilir. Microsoft ise Haziran ayında, kullanıcıları kötü amaçlı yazılımlara karşı korumak için pazar çapında periyodik taramalar başlattığını duyurdu. Resmi pazardan kaldırılan her uzantı GitHub’daki RemovedPackages sayfasından görüntülenebilir.