AI整合式開發環境(IDE)當紅,其中較知名包含Cursor與Windsurf,這些IDE能支援Visual Studio Code(VS Code)的延伸套件,開發者通常會透過第三方市集OpenVSX取得所需套件。現在傳出這些IDE的用戶被盯上,駭客透過延伸套件市集散布惡意程式。
資安業者Secure Annex指出,遠端存取木馬SleepyDuck近日出現在OpenVSX延伸套件市集,攻擊者在10月31日推送無害的0.0.7版延伸套件juan-bianco.solidity-vlang,目的是模仿知名套件solidity,後來,攻擊者在套件下載次數達到1.4萬後顯露真正的意圖,他們發布0.0.8版更新納入SleepyDuck,此惡意軟體具備沙箱逃逸能力,並利用以太坊合約取得C2位址。
值得留意的是,雖然OpenVSX已在套件網頁發出警告,但該套件迄今下載次數已超過5.3萬次,因此影響範圍恐怕相當廣泛。
一旦開發人員的電腦安裝惡意套件,就會在IDE開啟新程式碼編輯器視窗的時候,觸發惡意程式執行,該惡意軟體初始化過程當中,會試圖找到連線速度最快的以太坊RPC供應者、啟動處理程序sleepyduck,並執行更新流程。然後偵察受害電腦的系統資訊,確認並非在沙箱環境運作。
接著,SleepyDuck會與C2進行連線並試圖取得需要執行的命令,但假若無法正常通訊,該惡意軟體從特定以太坊合約的位址取得新組態資訊,以便向新的C2進行連線。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
Advertisement