Ekstensi Palsu Solidity di Open VSX Sebar Malware SleepyDuck, Backdoor Pengembang

Peneliti keamanan menemukan sebuah ekstensi berbahaya di Open VSX—repositori ekstensi open-source untuk VS Code—yang menyamar sebagai ekstensi populer “Solidity” namun ternyata berisi malware SleepyDuck. Malware ini secara cerdik menggunakan kontrak pintar Ethereum (smart contract) sebagai saluran komunikasi dengan server peretas.

Mengincar Pengembang Melalui Open VSX

Open VSX merupakan repositori komunitas untuk ekstensi Visual Studio Code dan IDE turunan berbasis AI seperti Cursor dan Windsurf.
Ekstensi berbahaya tersebut diunggah dengan nama:

juan-bianco.solidity-vlang

Ekstensi ini masih tersedia di Open VSX, kini disertai peringatan resmi, dan telah diunduh lebih dari 53.000 kali sejak diunggah pada 31 Oktober 2025.

Menurut laporan Secure Annex, versi awal ekstensi ini tidak berbahaya, namun pembaruan pada 1 November menyuntikkan kode jahat tepat setelah jumlah unduhan menembus 14.000 kali.

Mekanisme Serangan SleepyDuck

Malware SleepyDuck meniru perilaku ekstensi pengembang asli agar tidak menimbulkan kecurigaan. Ia aktif saat pengguna membuka file Solidity atau menjalankan perintah kompilasi di editor.

Langkah-langkahnya antara lain:

1. Membuat lock file agar hanya berjalan sekali per perangkat.
2. Memanggil fungsi palsu webpack.init() dari file extension.js untuk menyamarkan proses berbahaya.
3. Memuat dan menjalankan payload tersembunyi yang membuka command execution sandbox.

Setelah aktif, SleepyDuck akan mengumpulkan data sistem penting seperti nama host, username, alamat MAC, dan zona waktu.

Gunakan Blockchain Sebagai Kanal Komando

Yang membuat SleepyDuck unik adalah kemampuannya menggunakan kontrak pintar Ethereum sebagai kanal cadangan Command & Control (C2).

• Malware membaca data dari blockchain Ethereum untuk mendapatkan alamat server C2 terbaru dan parameter komunikasi yang diperbarui.
• Bila domain utama (sleepyduck[.]xyz) ditutup, malware tetap bisa beroperasi karena kontrak pintar di blockchain tetap aktif dan tidak dapat dihapus.
• Fungsi polling di malware akan mengirim data sistem ke server lewat permintaan POST, lalu menunggu perintah baru untuk dieksekusi.

“Penggunaan Ethereum sebagai saluran komunikasi membuat malware ini hampir mustahil dimatikan sepenuhnya,” jelas peneliti Secure Annex.

Popularitas Open VSX Menarik Minat Peretas

Insiden ini menambah daftar panjang serangan terhadap Open VSX, yang sebelumnya juga mengalami kebocoran token dan penyebaran ekstensi berbahaya lainnya.
Tim Open VSX kini telah menerapkan peningkatan keamanan seperti:

• Memperpendek masa hidup token autentikasi.
• Mekanisme pencabutan kredensial yang lebih cepat.
• Pemindaian keamanan otomatis untuk ekstensi baru.
• Kolaborasi dengan Microsoft VS Code untuk berbagi intelijen ancaman terbaru.

Tips Keamanan untuk Pengembang

Pengembang disarankan untuk lebih berhati-hati sebelum memasang ekstensi dari sumber tidak resmi:

• ✅ Unduh hanya dari penerbit terpercaya dan repositori resmi seperti Visual Studio Marketplace.
• ⚠️ Periksa log aktivitas ekstensi setelah instalasi untuk mendeteksi aktivitas mencurigakan.
• 🔒 Gunakan sandboxed environment atau virtual machine untuk menguji ekstensi baru.

Serangan SleepyDuck menunjukkan bagaimana blockchain kini dimanfaatkan sebagai infrastruktur komunikasi malware, menjadikannya tantangan baru dalam keamanan perangkat lunak pengembang.

Sumber: BleepingComputer, Secure Annex