Cybersicherheitsforscher haben eine weitere Weiterentwicklung der laufenden **GlassWorm**-Kampagne aufgedeckt, die einen neuen Zig-Dropper einsetzt, der darauf ausgelegt ist, heimlich alle integrierten Entwicklungsumgebungen (IDEs) auf der Maschine eines Entwicklers zu infizieren. ### Maskerade als WakaTime Die Technik wurde in einer Open VSX-Erweiterung namens "specstudio.code-wakatime-activity-tracker" entdeckt, die sich als WakaTime ausgab, ein beliebtes Tool, das die Zeit misst, die Programmierer in ihrer IDE verbringen. Die Erweiterung ist nicht mehr zum Download verfügbar. "Die Erweiterung [...] liefert neben ihrem JavaScript-Code eine in Zig kompilierte native Binärdatei", sagte **Aikido Security**-Forscher Ilyas Makari in einer diese Woche veröffentlichten Analyse. "Dies ist nicht das erste Mal, dass **GlassWorm** native kompilierte Code in Erweiterungen verwendet. Anstatt die Binärdatei jedoch direkt als Payload zu verwenden, wird sie als heimliche Umleitung für den bekannten **GlassWorm**-Dropper verwendet, der nun heimlich alle anderen IDEs infiziert, die er auf Ihrem System finden kann." ### Technisches Deep Dive: Der Zig-Dropper Die neu identifizierte **Microsoft Visual Studio Code** (VS Code)-Erweiterung ist eine nahezu exakte Kopie von WakaTime, mit Ausnahme einer Änderung in einer Funktion namens "activate()". Die Erweiterung installiert eine Binärdatei namens "win.node" auf Windows-Systemen und "mac.node", eine universelle Mach-O-Binärdatei, wenn das System **Apple** macOS ausführt. Diese Node.js-Native-Addons sind kompilierte Shared Libraries, die in Zig geschrieben sind und direkt in die Node-Laufzeit geladen werden und außerhalb des JavaScript-Sandkastens mit vollem Zugriff auf Betriebssystemebene ausgeführt werden.  ### Ziel: Mehrere IDEs Sobald die Binärdatei geladen ist, besteht ihr Hauptziel darin, jede IDE auf dem System zu finden, die VS Code-Erweiterungen unterstützt. Dazu gehören **Microsoft VS Code** und VS Code Insiders sowie Forks wie VSCodium, Positron und eine Reihe von KI-gestützten Codierungswerkzeugen wie Cursor und Windsurf. ### Zweistufige Infektion: Nachahmung legitimer Erweiterungen Die Binärdatei lädt dann eine bösartige VS Code-Erweiterung (.VSIX) von einem Angreifer-kontrollierten **GitHub**-Konto herunter. Die Erweiterung – genannt "floktokbok.autoimport" – ahmt "steoates.autoimport" nach, eine legitime Erweiterung mit mehr als 5 Millionen Installationen im offiziellen Visual Studio Marketplace. Im letzten Schritt wird die heruntergeladene .VSIX-Datei in einen temporären Pfad geschrieben und stillschweigend in jede IDE mithilfe des CLI-Installers jedes Editors installiert. Die zweistufige VS Code-Erweiterung fungiert als Dropper, der die Ausführung auf russischen Systemen vermeidet, mit der **Solana**-Blockchain kommuniziert, um den Command-and-Control (C2)-Server abzurufen, sensible Daten exfiltriert und einen Remote-Access-Trojaner (RAT) installiert, der letztendlich eine informationsstehlende **Google Chrome**-Erweiterung bereitstellt. ### Empfehlungen Benutzern, die "specstudio.code-wakatime-activity-tracker" oder "floktokbok.autoimport" installiert haben, wird geraten, von einer Kompromittierung auszugehen und alle Geheimnisse zu rotieren.