【安全资讯】Open VSX平台出现伪造Solidity扩展，通过以太坊合约实现持久化控制

概要：

网络安全研究人员发现Open VSX开源注册平台出现恶意VSCode扩展，伪装成知名Solidity开发工具，通过以太坊智能合约建立持久化通信渠道。这种新型攻击针对软件开发人员，已累计下载5.3万次，凸显开源生态供应链安全面临严峻挑战。

主要内容：

恶意扩展名为“juan-bianco.solidity-vlang”，最初于10月31日提交时无害，次日更新后植入名为SleepyDuck的远程访问木马。该恶意代码在编辑器启动、打开Solidity文件或执行编译命令时激活，通过创建锁文件确保单次感染，并伪装调用webpack.init()函数加载恶意负载。

技术分析显示，SleepyDuck会收集系统主机名、用户名、MAC地址和时区信息，并建立命令执行沙箱。其核心特征是利用以太坊智能合约实现C2服务器冗余，即使主控域名sleepyduck.xyz被查封，仍可通过区块链获取更新指令。

恶意软件启动后会寻找最快的以太坊RPC提供商读取智能合约中的C2配置，初始化实例后进入轮询循环。通过POST请求发送系统数据并等待执行指令，这种基于区块链的持久化机制使传统防御手段难以彻底阻断攻击。

安全专家指出，Open VSX平台日益受到黑客关注，此次事件已影响超过5.3万次下载。虽然平台已实施令牌生命周期缩短、自动扫描等安全增强措施，但开发者仍需谨慎选择扩展，仅信任官方发布渠道。