Кампањата GlassWorm користи нов Zig dropper за тајно инфицирање на сите интегрирани развојни околини (IDE) на компјутерите на програмерите, открија истражувачите за сајбер безбедност.

Оваа техника е откриена во екстензија за Open VSX наречена "specstudio.code-wakatime-activity-tracker," која се претставува како WakaTime, популарна алатка за мерење на времето што програмерите го поминуваат во нивните IDE. Екстензијата веќе не е достапна за преземање.

„Екстензијата [...] испорачува Zig-компилиран нативен бинарен фајл заедно со својот JavaScript код," — изјави истражувачот на Aikido Security, Илијас Макари, во анализа објавена оваа недела.

Новоидентификуваната екстензија за Microsoft Visual Studio Code (VS Code) е речиси идентична со WakaTime, освен за промена воведена во функцијата наречена "activate()." Екстензијата инсталира бинарен фајл наречен "win.node" на Windows системи и "mac.node," универзален Mach-O бинарен фајл ако системот работи на Apple macOS.

Овие Node.js нативни додатоци се компилирани споделени библиотеки напишани во Zig и се вчитуваат директно во Node-овото извршно време, извршувајќи се надвор од JavaScript песочната кутија со целосен пристап на ниво на оперативниот систем.

Откако ќе се вчитаат, главната цел на бинарниот фајл е да ги пронајде сите IDE на системот кои поддржуваат VS Code екстензии. Ова вклучува Microsoft VS Code и VS Code Insiders, како и форкови како VSCodium, Positron и голем број на алатки за кодирање потпомогнати од вештачка интелигенција како Cursor и Windsurf.

Бинарниот потоа презема злонамерна VS Code екстензија (.VSIX) од GitHub сметка контролирана од напаѓачот. Екстензијата – наречена "floktokbok.autoimport" – се претставува како "steoates.autoimport," легитимна екстензија со повеќе од 5 милиони инсталации на официјалниот Visual Studio Marketplace.

Во последниот чекор, преземениот .VSIX фајл се запишува на привремена патека и тивко се инсталира во секој IDE користејќи го CLI инсталерот на секој уредувач. Втората фаза на VS Code екстензијата делува како dropper кој избегнува извршување на руски системи, комуницира со Solana блокчејнот за да го добие серверот за команда и контрола (C2), извлекува чувствителни податоци и инсталира тројански коњ за далечински пристап (RAT), кој на крајот инсталира екстензија за Google Chrome која краде информации.

Корисниците кои ја инсталирале "specstudio.code-wakatime-activity-tracker" или "floktokbok.autoimport" се советуваат да претпостават компромис и да ги ротираат сите тајни.