Les chercheurs en cybersécurité ont signalé une nouvelle évolution de la campagne **GlassWorm** en cours, qui utilise un nouveau droppeur Zig conçu pour infecter discrètement tous les environnements de développement intégrés (IDE) sur la machine d'un développeur. ### Se faisant passer pour WakaTime Cette technique a été découverte dans une extension Open VSX nommée "specstudio.code-wakatime-activity-tracker", qui se faisait passer pour WakaTime, un outil populaire qui mesure le temps passé par les programmeurs dans leur IDE. L'extension n'est plus disponible au téléchargement. "L'extension [...] distribue un binaire natif compilé en Zig aux côtés de son code JavaScript", a déclaré Ilyas Makari, chercheur chez **Aikido Security**, dans une analyse publiée cette semaine. "Ce n'est pas la première fois que **GlassWorm** a recours à l'utilisation de code natif compilé dans des extensions. Cependant, au lieu d'utiliser le binaire comme charge utile directement, il est utilisé comme une indirection furtive pour le droppeur **GlassWorm** connu, qui infecte désormais secrètement tous les autres IDE qu'il peut trouver sur votre système." ### Plongée technique : le droppeur Zig La nouvelle extension **Microsoft Visual Studio Code** (VS Code) identifiée est une réplique quasi parfaite de WakaTime, à l'exception d'une modification introduite dans une fonction nommée "activate()". L'extension installe un binaire nommé "win.node" sur les systèmes Windows et "mac.node", un binaire universel Mach-O si le système exécute **Apple** macOS. Ces add-ons natifs Node.js sont des bibliothèques partagées compilées, écrites en Zig, qui se chargent directement dans l'environnement d'exécution de Node et s'exécutent en dehors du bac à sable JavaScript avec un accès complet au niveau du système d'exploitation.  ### Ciblage de plusieurs IDE Une fois chargé, l'objectif principal du binaire est de trouver tous les IDE sur le système qui prennent en charge les extensions VS Code. Cela inclut **Microsoft VS Code** et VS Code Insiders, ainsi que des forks comme VSCodium, Positron, et un certain nombre d'outils de codage basés sur l'intelligence artificielle (IA) comme Cursor et Windsurf. ### Infection de second niveau : usurpation d'extensions légitimes Le binaire télécharge ensuite une extension VS Code malveillante (.VSIX) depuis un compte **GitHub** contrôlé par l'attaquant. L'extension – nommée "floktokbok.autoimport" – usurpe l'identité de "steoates.autoimport", une extension légitime avec plus de 5 millions d'installations sur le Visual Studio Marketplace officiel. Dans la dernière étape, le fichier .VSIX téléchargé est écrit dans un chemin temporaire et installé silencieusement dans chaque IDE en utilisant l'installateur CLI de chaque éditeur. L'extension VS Code de second niveau agit comme un droppeur qui évite l'exécution sur les systèmes russes, communique avec la blockchain **Solana** pour récupérer le serveur de commande et de contrôle (C2), exfiltre des données sensibles et installe un cheval de Troie d'accès à distance (RAT), qui déploie finalement une extension **Google Chrome** de vol d'informations. ### Recommandations Il est conseillé aux utilisateurs qui ont installé "specstudio.code-wakatime-activity-tracker" ou "floktokbok.autoimport" de considérer leur système comme compromis et de faire pivoter tous leurs secrets.