Выявлена опасная вредоносная кампания с участием расширения SleepyDuck, маскирующегося под легитимный IDE-плагин ‘juan-bianco.solidity-vlang’ в реестре Open VSX. Руководитель группы аналитики L1 GSOC компании «Газинформсервис» Андрей Жданухин объяснил, как можно бороться с угрозой.
Расширение первоначально было опубликовано как безобидная версия 0.0.7, однако уже 0.0.8 содержала в себе скрытый RAT-модуль, имея более 14 000 загрузок. Эксперт отмечает: угроза особенно серьёзна тем, что SleepyDuck использует блокчейн Ethereum для организации C2-инфраструктуры. То есть вредоносный код обращается к заданному смарт-контракту для получения адреса сервера управления, что делает его устойчивым к традиционным методам блокировки.
«В данном контексте рекомендации от центра мониторинга GSOC строятся на разностороннем подходе. С одной стороны — усиление контроля над цепочкой поставок ПО и расширениями, что особенно важно, но тяжело в организации-разработчике, так как ИБ не должна мешать работе бизнеса. С другой — активный мониторинг поведения конечных устройств», — подчёркивает Андрей Жданухин.
По словам эксперта, важно внедрять правила: запрещать установку расширений из непроверенных источников, использовать белые списки издателей и фиксировать изменения в средах разработки. «GSOC обеспечивает наблюдение за аномалиями в различных ОС, в том числе Windows. Это может быть неожиданная активация .sol-файлов или сетевые обращения к неизвестным C2-адресам. При выявлении подозрительной активности GSOC инициирует изоляцию устройства и расследование инцидента, что позволяет предотвратить массовое заражение через разработческую инфраструктуру», — добавляет он.
