Investigadores de ciberseguridad han señalado otra evolución de la campaña **GlassWorm**, que emplea un nuevo dropper Zig diseñado para infectar sigilosamente todas las integraciones de desarrollo (IDEs) en la máquina de un desarrollador. ### Enmascarado como WakaTime La técnica fue descubierta en una extensión de Open VSX llamada "specstudio.code-wakatime-activity-tracker", que se hacía pasar por WakaTime, una herramienta popular que mide el tiempo que los programadores pasan dentro de su IDE. La extensión ya no está disponible para su descarga. "La extensión [...] incluye un binario nativo compilado en Zig junto con su código JavaScript", dijo **Aikido Security** investigador Ilyas Makari en un análisis publicado esta semana. "Esta no es la primera vez que **GlassWorm** recurre al uso de código nativo compilado en extensiones. Sin embargo, en lugar de usar el binario como carga útil directamente, se utiliza como una indirección sigilosa para el conocido dropper **GlassWorm**, que ahora infecta secretamente todas las demás IDEs que puede encontrar en su sistema." ### Análisis Técnico Profundo: El Dropper Zig La extensión recién identificada de **Microsoft Visual Studio Code** (VS Code) es una réplica casi exacta de WakaTime, salvo por un cambio introducido en una función llamada "activate()". La extensión instala un binario llamado "win.node" en sistemas Windows y "mac.node", un binario universal Mach-O si el sistema ejecuta **Apple** macOS. Estos complementos nativos de Node.js son bibliotecas compartidas compiladas escritas en Zig que se cargan directamente en el tiempo de ejecución de Node y se ejecutan fuera del sandbox de JavaScript con acceso completo a nivel del sistema operativo.  ### Ataque a Múltiples IDEs Una vez cargado, el objetivo principal del binario es encontrar todas las IDEs en el sistema que admitan extensiones de VS Code. Esto incluye **Microsoft VS Code** y VS Code Insiders, así como forks como VSCodium, Positron, y varias herramientas de codificación impulsadas por inteligencia artificial (IA) como Cursor y Windsurf. ### Infección de Segunda Etapa: Suplantación de Extensiones Legítimas El binario luego descarga una extensión maliciosa de VS Code (.VSIX) de una cuenta de **GitHub** controlada por el atacante. La extensión, llamada "floktokbok.autoimport", suplanta a "steoates.autoimport", una extensión legítima con más de 5 millones de instalaciones en el Visual Studio Marketplace oficial. En el paso final, el archivo .VSIX descargado se escribe en una ruta temporal y se instala silenciosamente en cada IDE utilizando el instalador CLI de cada editor. La extensión de VS Code de segunda etapa actúa como un dropper que evita la ejecución en sistemas rusos, se comunica con la blockchain de **Solana** para obtener el servidor de comando y control (C2), exfiltra datos sensibles e instala un troyano de acceso remoto (RAT), que finalmente implementa una extensión de **Google Chrome** para robo de información. ### Recomendaciones Se aconseja a los usuarios que hayan instalado "specstudio.code-wakatime-activity-tracker" o "floktokbok.autoimport" que asuman un compromiso y roten todos los secretos.