文章总结： 工信部CSTIS预警SleepyDuck恶意软件，它伪装成Solidity扩展攻击Cursor等开发者。该RAT通过名称抢注传播，具备窃密和远控能力，创新性地利用以太坊合约实现C2持久化以规避封杀。建议立即排查设备、卸载恶意扩展、阻断特定域名及合约地址交互，并加强开发者身份验证，确保开发环境安全。 综合评分： 87 文章分类： 恶意软件,威胁情报,安全意识

关于防范SleepyDck恶意软件的风险提示

CSTIS

网络安全威胁和漏洞信息共享平台

2026年1月4日 16:47 北京

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现SleepyDuck恶意软件持续活跃，其主要攻击目标为使用Cursor和Windsurf等代码编辑器的开发者，可能导致数据泄露、系统受控、业务中断等风险。

    SleepyDuck是一种极具威胁性的复杂远程访问木马（RAT），于2025年10月31日以“juan-bianco.solidity-vlang”名称首次在OpenVSX市场发布，11月1日更新至0.0.8版本并植入恶意功能。该恶意软件通过名称抢注技术（攻击者抢先注册与合法软件、品牌等高度相似名称，伪装成可信来源诱骗用户下载恶意软件的手段）伪装成合法Solidity工具，当用户打开新代码编辑器窗口或选择.sol文件时该恶意软件被激活。激活后，它首先收集主机名、用户名、MAC地址、时区等机器信息，并通过创建锁定文件确保单次执行、调用伪装函数初始化恶意载荷、使用沙箱环境执行命令等技术规避检测。随后，该恶意软件连接主命令与控制（C2）服务器sleepyduck[.]xyz，以30秒轮询间隔接收指令，可远程完全控制受感染的Windows系统、窃取敏感数据、执行恶意命令。SleepyDuck核心特点是利用以太坊区块链合约实现高级持久化——将备用配置数据存储在以太坊合约地址0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465。当主C2服务器失效时，SleepyDuck会查询该不可篡改的区块链合约，获取更新后的服务器地址、轮询间隔甚至紧急命令。此外，它采用去中心化的基础设施，即便主域名被查封也能维持运营，大幅提升了安全监测分析的难度。

    建议相关单位和用户立即组织排查，更新防病毒软件，实施全盘病毒查杀，卸载相关恶意扩展，仅从官方市场下载开发工具，并严格验证开发者身份，加强网络监控，阻断与sleepyduck[.]xyz及特定以太坊合约地址的非法交互，并可通过定期备份数据等措施，防范网络攻击风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全威胁和漏洞信息共享平台 CSTIS《关于防范SleepyDck恶意软件的风险提示》