Pesquisadores de cibersegurança identificaram uma nova extensão maliciosa no registro Open VSX, que contém um trojan de acesso remoto chamado SleepyDuck. A extensão, denominada juan-bianco.solidity-vlang (versão 0.0.7), foi publicada em 31 de outubro de 2025, inicialmente como uma biblioteca inofensiva, mas foi atualizada para a versão 0.0.8 em 1º de novembro, após atingir 14.000 downloads. O malware utiliza técnicas de evasão de sandbox e um contrato Ethereum para atualizar seu endereço de comando e controle caso o original seja desativado. O ataque é ativado ao abrir uma nova janela de editor de código ou selecionar um arquivo .sol, permitindo que o malware colete informações do sistema e as exfiltre para um servidor remoto. Além disso, a extensão pode se reconfigurar para contornar a detecção e executar comandos de emergência. Este incidente se junta a uma série de campanhas que visam desenvolvedores de Solidity, destacando a necessidade de cautela ao baixar extensões. A Microsoft anunciou que está implementando varreduras periódicas no marketplace para proteger os usuários contra malware.
Fonte: https://thehackernews.com/2025/11/malicious-vsx-extension-sleepyduck-uses.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
03/11/2025 • Risco: ALTO
MALWARE
Nova extensão maliciosa no Open VSX distribui trojan SleepyDuck
RESUMO EXECUTIVO
O incidente com a extensão juan-bianco.solidity-vlang destaca a vulnerabilidade de desenvolvedores de Solidity a ataques de malware. A capacidade do trojan SleepyDuck de coletar informações e se reconfigurar para evitar detecções representa um risco significativo para a segurança cibernética e a proteção de ativos digitais.
💼 IMPACTO DE NEGÓCIO
Financeiro
Perdas potenciais significativas em ativos de criptomoeda, como demonstrado pelo caso de um desenvolvedor que perdeu $500.000.
Operacional
Perda potencial de ativos em criptomoedas e comprometimento de informações pessoais.
Setores vulneráveis
['Tecnologia', 'Financeiro', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
14.000 downloads da extensão antes da atualização maliciosa.
Indicador
O trojan é ativado a cada 30 segundos para verificar novos comandos.
Contexto BR
O contrato foi atualizado em quatro transações.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se a extensão juan-bianco.solidity-vlang está instalada em sistemas de desenvolvimento.
2
Remover extensões não verificadas e realizar uma varredura de segurança em sistemas afetados.
3
Monitorar atividades de rede e logs de sistema para detectar comportamentos suspeitos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas equipes de desenvolvimento e a proteção de ativos digitais, especialmente em um cenário onde extensões maliciosas podem comprometer sistemas.
⚖️ COMPLIANCE
Implicações legais relacionadas à proteção de dados e à segurança cibernética no Brasil.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
