Los investigadores de ciberseguridad han señalado otra proceso más de la contemporáneo reptil de cristal campaña, que emplea un nuevo cuentagotas Zig que está diseñado para infectar sigilosamente todos los entornos de ampliación integrados (IDE) en la máquina de un desarrollador.
La técnica ha sido descubierta en una extensión Open VSX convocatoria “specstudio.code-wakatime-activity-tracker”, que se hace acontecer por WakaTime, una útil popular que mide el tiempo que los programadores pasan adentro de su IDE. La extensión ya no está apto para descargar.
“La extensión (…) incluye un binario nativo compilado por Zig cercano con su código JavaScript”, dijo el investigador de Aikido Security, Ilyas Makari, en un investigación publicado esta semana.
“Esta no es la primera vez que GlassWorm ha recurrido al uso de código compilado nativo en extensiones. Sin retención, en emplazamiento de utilizar el binario como carga útil directamente, se utiliza como una dirección indirecta sigilosa para el conocido cuentagotas GlassWorm, que ahora infecta secretamente todos los demás IDE que puede encontrar en su sistema”.
La extensión Microsoft Visual Studio Code (VS Code) recientemente identificada es casi una réplica de WakaTime, indemne por un cambio introducido en una función convocatoria “activate()”. La extensión instala un binario llamado “win.node” en sistemas Windows y “mac.node”, un binario Mach-O universal si el sistema ejecuta Apple macOS.
Estos complementos nativos de Node.js son bibliotecas compartidas compiladas que están escritas en Zig y se cargan directamente en el tiempo de ejecución de Node y se ejecutan fuera del entorno prohibido de JavaScript con comunicación completo a nivel del sistema activo.
Una vez cargado, el objetivo principal del binario es encontrar todos los IDE del sistema que admitan extensiones de VS Code. Esto incluye Microsoft VS Code y VS Code Insiders, así como bifurcaciones como VSCodium, Positron y una serie de herramientas de codificación impulsadas por inteligencia sintético (IA) como Cursor y Windsurf.
Luego, el binario descarga una extensión VS Code maliciosa (.VSIX) desde una cuenta de GitHub controlada por el atacante. La extensión, convocatoria “floktokbok.autoimport”, se hace acontecer por “steoates.autoimport”, una extensión legítima con más de 5 millones de instalaciones en el Visual Studio Marketplace oficial.
En el paso final, el archivo .VSIX descargado se escribe en una ruta temporal y se instala silenciosamente en cada IDE mediante el instalador CLI de cada editor. La extensión VS Code de segunda etapa actúa como un dosificador que evita la ejecución en sistemas rusos, se comunica con la dependencia de bloques de Solana para apañarse el servidor de comando y control (C2), extrae datos confidenciales e instala un troyano de comunicación remoto (RAT), que finalmente implementa una extensión de Google Chrome para robar información.
Se recomienda a los usuarios que hayan instalado “specstudio.code-wakatime-activity-tracker” o “floktokbok.autoimport” que asuman un compromiso y roten todos los secretos.
