O malware Open VSX acendeu um alerta crítico entre desenvolvedores e profissionais de segurança. Uma extensão falsa chamada ‘juan-bianco.solidity-vlang’ foi publicada no marketplace Open VSX, alternativa popular ao repositório oficial do VS Code. Disfarçada como uma ferramenta para desenvolvimento em Solidity, ela já foi baixada mais de 53.439 vezes, instalando silenciosamente um backdoor chamado SleepyDuck.
O objetivo deste artigo é explicar como a ameaça funciona, por que ela representa um avanço perigoso na cadeia de suprimentos de software, e como verificar se sua máquina foi comprometida. O ponto mais preocupante: o SleepyDuck usa um contrato inteligente na blockchain Ethereum como mecanismo de resiliência, permitindo que o atacante recupere o controle do malware mesmo após o servidor original ser derrubado.
Com o crescimento de IDEs alternativas como VSCodium, Cursor e Windsurf, que dependem do Open VSX, esta campanha expõe uma vulnerabilidade alarmante em ecossistemas de desenvolvimento cada vez mais distribuídos.
O que é o ataque? A extensão ‘juan-bianco.solidity-vlang’
O Open VSX é um registro de extensões de código aberto compatível com o VS Code, usado principalmente por IDEs que não se conectam ao marketplace oficial da Microsoft. Ele é mantido pela Eclipse Foundation e permite que ferramentas como VSCodium, Cursor e outras interfaces baseadas em VS Code recebam plugins de forma independente.
O ataque se baseia em typosquatting, técnica em que atacantes criam extensões com nomes semelhantes às oficiais. O nome ‘juan-bianco.solidity-vlang’ imita a extensão legítima de Solidity, utilizada para desenvolvimento de contratos inteligentes em Ethereum.
Como o ataque foi executado
- Versão inicial inofensiva (0.0.7): A extensão foi publicada com funcionalidades normais para conquistar confiança e alcançar usuários. Rapidamente ultrapassou 14 mil downloads.
- Atualização maliciosa (0.1.3): Após conquistar tração, o autor inseriu o payload do malware SleepyDuck, que passou a ser instalado automaticamente em novas instalações e atualizações.
- Mesmo após o alerta da comunidade, a extensão continuou disponível por horas, atingindo 53.439 downloads antes de ser removida.
Esse cenário demonstra um ataque clássico de supply chain, em que os atacantes exploram a confiança em repositórios de software para distribuir código malicioso.
SleepyDuck: o malware que usa Ethereum como plano B
O SleepyDuck é um backdoor projetado para persistência e comunicação discreta com os servidores do atacante. Ele foi embutido no código da extensão e é ativado silenciosamente por ações comuns dentro da IDE.
Como o malware é acionado
O código malicioso executa quando:
- O editor é iniciado;
- Um arquivo .sol (Solidity) é aberto;
- Ou quando o comando de compilação é executado.
Ao ser ativado, o SleepyDuck coleta informações do sistema, como:
- Nome do host e do usuário;
- Endereço MAC da interface de rede;
- Sistema operacional e fuso horário.
Esses dados são enviados para o servidor de comando do atacante, estabelecendo o controle inicial.
O diferencial técnico: C2 via smart contract
Um componente central do malware Open VSX é sua capacidade de se manter ativo mesmo se sua infraestrutura for derrubada.
O que é um servidor de C2?
O servidor de Comando e Controle (C2) é o ponto central de comunicação do malware. Ele recebe os dados roubados e envia instruções aos dispositivos infectados.
Como o SleepyDuck usa a blockchain para persistência
- O malware tenta primeiro acessar seu servidor padrão: sleepyduck[.]xyz.
- Se o servidor estiver offline ou bloqueado, o malware consulta um contrato inteligente na blockchain Ethereum.
- Esse contrato contém o endereço atualizado de um novo servidor C2, permitindo que o atacante restaure o controle do backdoor sem depender de domínios ou infraestrutura centralizada.
Esse mecanismo torna o SleepyDuck altamente resiliente, já que smart contracts não podem ser facilmente removidos ou censurados, e seus dados permanecem acessíveis publicamente para qualquer sistema infectado.
Como saber se fui afetado e como me proteger
Verifique suas extensões instaladas
- Abra seu editor (VS Code, VSCodium, Cursor, Windsurf, etc.);
- Acesse a aba de Extensões (Extensions);
- Procure manualmente por ‘juan-bianco.solidity-vlang’.
Se a extensão estiver presente:
- Desinstale imediatamente;
- Reinicie a IDE.
Próximos passos para sistemas comprometidos
Por se tratar de um backdoor ativo, a máquina deve ser considerada comprometida. Recomenda-se:
- Revogar chaves SSH e tokens de API utilizados no sistema;
- Alterar senhas armazenadas localmente ou via gerenciadores integrados;
- Verificar configurações de Git, Docker, NPM, e outras ferramentas que possam ter segredos expostos;
- Executar uma análise completa com ferramentas de antivírus e EDR (Endpoint Detection and Response).
Boas práticas para evitar futuros ataques
- Verifique sempre o publisher das extensões. A extensão oficial de Solidity é publicada por Microsoft, e não por usuários desconhecidos;
- Prefira extensões com código-fonte aberto e repositório público no GitHub;
- Habilite verificações de integridade e assinaturas digitais, quando disponíveis;
- Mantenha seu editor e plugins atualizados com as últimas correções de segurança.
Conclusão: a segurança em marketplaces alternativos
O caso do malware SleepyDuck no Open VSX mostra que a popularidade de marketplaces alternativos os torna alvos inevitáveis para ataques sofisticados. Assim como aconteceu no npm, PyPI e Docker Hub, atacar a cadeia de suprimentos tornou-se uma estratégia eficaz para atingir milhares de desenvolvedores de uma só vez.
Apesar de o Open VSX ter anunciado melhorias como tokens de publicação de curta duração e validações automatizadas, o incidente revela que a segurança nesse ecossistema deve ser contínua e colaborativa.
Verifique agora suas extensões no VS Code, VSCodium ou Cursor e compartilhe este alerta com sua equipe. Segurança não é opcional — é parte essencial do desenvolvimento moderno.
