Open VSX 오픈 소스 레지스트리에서 Solidity 확장 프로그램으로 위장한 원격 접근 트로이 목마인 SleepyDuck이 발견되었습니다. 이 악성 코드는 이더리움 스마트 계약을 이용해 공격자와의 통신 채널을 구축합니다. Open VSX는 VS Code와 호환되는 확장 프로그램을 위한 커뮤니티 주도 레지스트리로, Cursor와 Windsurf와 같은 AI 기반 통합 개발 환경(IDE)에서 인기가 있습니다. 이 확장 프로그램은 'juan-bianco.solidity-vlang'이라는 이름으로 Open VSX에 여전히 존재하며, 53,000회 이상 다운로드되었습니다.
이 확장 프로그램은 처음에는 무해했지만, 다음날 업데이트를 통해 악성 기능을 얻었습니다. 이때 이미 14,000회 다운로드되었습니다. 확장 프로그램 보안 플랫폼 Secure Annex의 보고서에 따르면, SleepyDuck의 주요 특징은 이더리움 계약을 이용해 명령 및 제어(C2) 서버 주소를 업데이트하고 장기적인 지속성을 달성하는 것입니다. 기본 C2 서버가 중단되더라도 이더리움 블록체인의 계약을 통해 악성 코드는 계속 작동할 수 있습니다.
요약
- 원격 접근 트로이 목마인 SleepyDuck이 Open VSX 오픈 소스 레지스트리에서 발견되었다.
- 이 악성 코드는 이더리움 스마트 계약을 이용해 공격자와의 통신 채널을 구축한다.
- 이 확장 프로그램은 'juan-bianco.solidity-vlang'이라는 이름으로 Open VSX에 여전히 존재하며, 53,000회 이상 다운로드되었다.
- SleepyDuck의 주요 특징은 이더리움 계약을 이용해 명령 및 제어(C2) 서버 주소를 업데이트하고 장기적인 지속성을 달성하는 것이다.
- 기본 C2 서버가 중단되더라도 이더리움 블록체인의 계약을 통해 악성 코드는 계속 작동할 수 있다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.