文章总结： CSTIS预警：SleepyDuckRAT伪装成Cursor/Windsurf扩展，通过抢注OpenVSX市场于2025-10-31发布，激活后窃主机信息并连C2sleepyduck[.]xyz，30秒轮询；用以太坊合约0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465存备用配置，主控失效即链上取新地址，实现去中心化持久化。建议立即卸载可疑扩展、全盘杀毒、阻断域名与链交互并只装官方验证插件。 综合评分： 88 文章分类： 恶意软件,漏洞预警,威胁情报,开发安全,供应链安全

CSTIS：关于防范SleepyDck恶意软件的风险提示

嘶吼专业版

2026年1月7日 14:00 北京

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现SleepyDuck恶意软件持续活跃，其主要攻击目标为使用Cursor和Windsurf等代码编辑器的开发者，可能导致数据泄露、系统受控、业务中断等风险。

SleepyDuck是一种极具威胁性的复杂远程访问木马（RAT），于2025年10月31日以“juan-bianco.solidity-vlang”名称首次在OpenVSX市场发布，11月1日更新至0.0.8版本并植入恶意功能。该恶意软件通过名称抢注技术（攻击者抢先注册与合法软件、品牌等高度相似名称，伪装成可信来源诱骗用户下载恶意软件的手段）伪装成合法Solidity工具，当用户打开新代码编辑器窗口或选择.sol文件时该恶意软件被激活。

激活后，它首先收集主机名、用户名、MAC地址、时区等机器信息，并通过创建锁定文件确保单次执行、调用伪装函数初始化恶意载荷、使用沙箱环境执行命令等技术规避检测。随后，该恶意软件连接主命令与控制（C2）服务器sleepyduck[.]xyz，以30秒轮询间隔接收指令，可远程完全控制受感染的Windows系统、窃取敏感数据、执行恶意命令。SleepyDuck核心特点是利用以太坊区块链合约实现高级持久化——将备用配置数据存储在以太坊合约地址0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465。

当主C2服务器失效时，SleepyDuck会查询该不可篡改的区块链合约，获取更新后的服务器地址、轮询间隔甚至紧急命令。此外，它采用去中心化的基础设施，即便主域名被查封也能维持运营，大幅提升了安全监测分析的难度。

网络安全威胁和漏洞信息共享平台建议相关单位和用户立即组织排查，更新防病毒软件，实施全盘病毒查杀，卸载相关恶意扩展，仅从官方市场下载开发工具，并严格验证开发者身份，加强网络监控，阻断与sleepyduck[.]xyz及特定以太坊合约地址的非法交互，并可通过定期备份数据等措施，防范网络攻击风险。

参考及来源：网络安全威胁和漏洞信息共享平台

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 《CSTIS：关于防范SleepyDck恶意软件的风险提示》