trojan แบบเข้ามาจากข้างนอกได้ที่ชื่อ SleepyDuck นั้นถูกซ่อนอยู่ใน Solidity extension ใน Open VSM registry โดยมันใช้ Ethereum smart contract ในการสื่อสารไปยังผู้ไม่หวังดี
Open VSM นั้นต้องบอกว่าเป็น registry สำหรับการพัฒนา opensource ที่มีความเข้ากันได้กับ VS Code และมันได้รับความนิยมมากด้วยนะ เช่นเดียวกับ Cursor และ Windsurf
และถึงขณะนี้มันก็ยังมีอยู่ แต่ขึ้นแสดงคำเตือน และ มันถูกดาวน์โหลดไปมากกว่า 53,000 คร้้ง
ตอนที่มันถูกส่งเข้ามายัง registry ครั้งแรกตอนนั้นยังปลอดภัยอยู่ แต่ตอนหลังผู้ไม่หวังดีก็ทำการอัพเดท และ แทรก trojan เข้ามา