近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现SleepyDuck恶意软件持续活跃，其主要攻击目标为使用Cursor和Windsurf等代码编辑器的开发者，可能导致数据泄露、系统受控、业务中断等风险。

SleepyDuck是一种极具威胁性的复杂远程访问木马（RAT），于2025年10月31日以“juan-bianco.solidity-vlang”名称首次在OpenVSX市场发布，11月1日更新至0.0.8版本并植入恶意功能。该恶意软件通过名称抢注技术（攻击者抢先注册与合法软件、品牌等高度相似名称，伪装成可信来源诱骗用户下载恶意软件的手段）伪装成合法Solidity工具，当用户打开新代码编辑器窗口或选择.sol文件时该恶意软件被激活。激活后，它首先收集主机名、用户名、MAC地址、时区等机器信息，并通过创建锁定文件确保单次执行、调用伪装函数初始化恶意载荷、使用沙箱环境执行命令等技术规避检测。随后，该恶意软件连接主命令与控制（C2）服务器sleepyduck[.]xyz，以30秒轮询间隔接收指令，可远程完全控制受感染的Windows系统、窃取敏感数据、执行恶意命令。SleepyDuck核心特点是利用以太坊区块链合约实现高级持久化——将备用配置数据存储在以太坊合约地址0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465。当主C2服务器失效时，SleepyDuck会查询该不可篡改的区块链合约，获取更新后的服务器地址、轮询间隔甚至紧急命令。此外，它采用去中心化的基础设施，即便主域名被查封也能维持运营，大幅提升了安全监测分析的难度。

建议相关单位和用户立即组织排查，更新防病毒软件，实施全盘病毒查杀，卸载相关恶意扩展，仅从官方市场下载开发工具，并严格验证开发者身份，加强网络监控，阻断与sleepyduck[.]xyz及特定以太坊合约地址的非法交互，并可通过定期备份数据等措施，防范网络攻击风险。

来源：工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）