Utviklere som installerer utvidelser fra Open VSX-markedsplassen bør sjekke maskinene sine. Aikido Security har avdekket at GlassWorm-kampanjen nå bruker en ny leveringsmetode som infiserer samtlige IDE-er på systemet, ikke bare editoren der utvidelsen opprinnelig ble installert.
Utvidelsen «specstudio.code-wakatime-activity-tracker» utgir seg for å være WakaTime, et populært tidsregistreringsverktøy for utviklere med over 5 millioner installasjoner. Den inneholder en Zig-kompilert binærfil som lastes inn i Node.js med full OS-tilgang utenfor JavaScripts sandbox.
«Rather than using the binary as the payload directly, it is used as a stealthy indirection for the known GlassWorm dropper, which now secretly infects all other IDEs it can find on your system» — Ilyas Makari, Aikido Security
Binæren skanner etter VS Code, VSCodium, Cursor, Windsurf og andre KI-kodeverktøy, laster ned en ondsinnet .VSIX-fil fra GitHub og installerer den stille i hver editor. Siste steg er en RAT og en Chrome-utvidelse som stjeler data. Kampanjen unngår russiske systemer og bruker Solana-blokkjeden for C2-kommunikasjon. Har du installert «specstudio.code-wakatime-activity-tracker» eller «floktokbok.autoimport», bør du anta kompromittering og rotere alle hemmeligheter.