近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现SleepyDuck恶意软件持续活跃,其主要攻击目标为使用Cursor和Windsurf等代码编辑器的开发者,可能导致数据泄露、系统受控、业务中断等风险。
SleepyDuck是一种极具威胁性的复杂远程访问木马(RAT),于2025年10月31日以“juan-bianco.solidity-vlang”名称首次在OpenVSX市场发布,11月1日更新至0.0.8版本并植入恶意功能。该恶意软件通过名称抢注技术(攻击者抢先注册与合法软件、品牌等高度相似名称,伪装成可信来源诱骗用户下载恶意软件的手段)伪装成合法Solidity工具,当用户打开新代码编辑器窗口或选择.sol文件时该恶意软件被激活。激活后,它首先收集主机名、用户名、MAC地址、时区等机器信息,并通过创建锁定文件确保单次执行、调用伪装函数初始化恶意载荷、使用沙箱环境执行命令等技术规避检测。随后,该恶意软件连接主命令与控制(C2)服务器sleepyduck[.]xyz,以30秒轮询间隔接收指令,可远程完全控制受感染的Windows系统、窃取敏感数据、执行恶意命令。SleepyDuck核心特点是利用以太坊区块链合约实现高级持久化——将备用配置数据存储在以太坊合约地址0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465。当主C2服务器失效时,SleepyDuck会查询该不可篡改的区块链合约,获取更新后的服务器地址、轮询间隔甚至紧急命令。此外,它采用去中心化的基础设施,即便主域名被查封也能维持运营,大幅提升了安全监测分析的难度。
建议相关单位和用户立即组织排查,更新防病毒软件,实施全盘病毒查杀,卸载相关恶意扩展,仅从官方市场下载开发工具,并严格验证开发者身份,加强网络监控,阻断与sleepyduck[.]xyz及特定以太坊合约地址的非法交互,并可通过定期备份数据等措施,防范网络攻击风险。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
