Los investigadores de ciberseguridad han detectado una nueva extensión maliciosa en el registro Open VSX que alberga un troyano de acceso remoto llamado pato soñoliento.
Según John Tuckner de Secure Anexo, la extensión en cuestión, juan-bianco.solidity-vlang (versión 0.0.7), se publicó por primera vez el 31 de octubre de 2025, como una biblioteca completamente benigna que posteriormente se actualizó a la versión 0.0.8 el 1 de noviembre para incluir nuevas capacidades maliciosas después de alcanzar 14.000 descargas.
«El malware incluye técnicas de evasión de sandbox y utiliza un contrato Ethereum para actualizar su dirección de comando y control en caso de que se elimine la dirección original», agregó Tuckner.
Se han detectado repetidamente campañas que distribuyen extensiones maliciosas dirigidas a desarrolladores de Solidity tanto en Visual Studio Extension Marketplace como en Open VSX. En julio de 2025, Kaspersky reveló que un desarrollador ruso perdió 500.000 dólares en activos de criptomonedas después de instalar una de esas extensiones a través de Cursor.
En el último caso detectado por la empresa de seguridad de extensión empresarial, el malware se activa cuando se abre una nueva ventana del editor de código o se selecciona un archivo .sol.
Específicamente, está configurado para encontrar el proveedor de llamada a procedimiento remoto (RPC) de Ethereum más rápido al que conectarse para obtener acceso a la cadena de bloques, inicializar el contacto con un servidor remoto en «sleepyduck(.)xyz» (de ahí el nombre) a través de la dirección del contrato «0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465» e inicia un ciclo de sondeo que verifica si hay nuevos comandos a ser ejecutado en el host cada 30 segundos.
También es capaz de recopilar información del sistema, como nombre de host, nombre de usuario, dirección MAC y zona horaria, y filtrar los detalles al servidor. En caso de que el dominio sea incautado o eliminado, el malware tiene controles alternativos incorporados para llegar a una lista predefinida de direcciones RPC de Ethereum para extraer la información del contrato que puede contener los detalles del servidor.
Además, la extensión está equipada para alcanzar una nueva configuración desde la dirección del contrato para establecer un nuevo servidor, así como ejecutar un comando de emergencia a todos los puntos finales en caso de que ocurra algo inesperado. El contrato se creó el 31 de octubre de 2025 y el actor de amenazas actualizó los detalles del servidor de «localhost:8080» a «sleepyduck(.)xyz» en el transcurso de cuatro transacciones.
No está claro si los actores de amenazas inflaron artificialmente el recuento de descargas para aumentar la relevancia de la extensión en los resultados de búsqueda, una táctica que a menudo se adopta para aumentar la popularidad y engañar a los desarrolladores desprevenidos para que instalen una biblioteca maliciosa.
El desarrollo se produce cuando la compañía también reveló detalles de otro conjunto de cinco extensiones, esta vez publicadas en VS Code Extension Marketplace por un usuario llamado «developmentinc», incluida una biblioteca con temática de Pokémon que descarga un script minero por lotes desde un servidor externo («mock1(.)su:443») tan pronto como se instala o habilita, y ejecuta el minero usando «cmd.exe».
El archivo de script, además de reiniciarse con privilegios de administrador usando PowerShell y configurar las exclusiones de Microsoft Defender Antivirus agregando cada letra de unidad desde C: hasta Z:, descarga un ejecutable de minería de Monero desde «mock1(.)su» y lo ejecuta.
Las extensiones cargadas por el actor de amenazas, que ahora ya no están disponibles para descargar, se enumeran a continuación:
- desarrolloinc.cfx-lua-vs
- desarrolloinc.pokemon
- desarrolloinc.torizon-vs
- desarrolloinc.minecraftsnippets
- desarrolloinc. kombai-vs
Se recomienda a los usuarios que tengan cuidado al descargar extensiones y se aseguren de que sean de editores confiables. Microsoft, por su parte, anunció en junio que está implementando análisis periódicos en todo el mercado para proteger a los usuarios contra el malware. Cada extensión eliminada del mercado oficial se puede ver desde la página RemovedPackages en GitHub.