サイバーセキュリティ研究者らが、進行中の**GlassWorm**キャンペーンの新たな進化を警告しています。このキャンペーンは、開発者のマシン上のすべての統合開発環境（IDE）をステルス的に感染させるように設計された、新しいZigドロッパーを採用しています。 ### WakaTimeを装う この手口は、「specstudio.code-wakatime-activity-tracker」という名前のOpen VSX拡張機能で発見されました。この拡張機能は、プログラマーがIDE内で費やす時間を測定する人気のツールであるWakaTimeを装っていました。この拡張機能は現在ダウンロードできません。 **Aikido Security**の研究者であるIlyas Makari氏は、今週公開された分析で、「この拡張機能は、JavaScriptコードとともにZigでコンパイルされたネイティブバイナリを配布しています」と述べています。 「**GlassWorm**が拡張機能でネイティブコンパイルコードを使用するのは初めてではありません。しかし、バイナリをペイロードとして直接使用するのではなく、既知の**GlassWorm**ドロッパーのステルス的な間接手段として使用されており、現在、システム上で見つかった他のすべてのIDEを秘密裏に感染させています。」 ### 技術的詳細：Zigドロッパー 新たに特定された**Microsoft Visual Studio Code** (VS Code) 拡張機能は、WakaTimeのほぼレプリカですが、「activate()」という名前の関数に変更が加えられています。この拡張機能は、Windowsシステムには「win.node」という名前のバイナリを、**Apple** macOSを実行しているシステムにはユニバーサルMach-Oバイナリである「mac.node」をインストールします。 これらのNode.jsネイティブアドオンは、Zigで記述された共有ライブラリであり、Nodeのランタイムに直接ロードされ、JavaScriptサンドボックスの外で実行され、完全なオペレーティングシステムレベルのアクセス権を持ちます。  ### 複数のIDEを標的とする ロードされると、バイナリの主な目的は、VS Code拡張機能をサポートするシステム上のすべてのIDEを見つけることです。これには、**Microsoft VS Code**およびVS Code Insiders、VSCodium、Positronなどのフォーク、およびCursorやWindsurfなどのAI（人工知能）搭載コーディングツールが含まれます。 ### セカンドステージ感染：正規拡張機能のなりすまし 次に、バイナリは攻撃者が制御する**GitHub**アカウントから悪意のあるVS Code拡張機能（.VSIX）をダウンロードします。この拡張機能は「floktokbok.autoimport」と呼ばれ、公式Visual Studio Marketplaceで500万以上のインストール数を誇る正規の拡張機能「steoates.autoimport」になりすましています。 最終ステップとして、ダウンロードされた.VSIXファイルは一時パスに書き込まれ、各エディタのCLIインストーラーを使用して、すべてのIDEにサイレントにインストールされます。セカンドステージのVS Code拡張機能は、ロシアのシステムでの実行を回避し、コマンドアンドコントロール（C2）サーバーを取得するために**Solana**ブロックチェーンと通信し、機密データを窃取し、最終的に情報窃取型**Google Chrome**拡張機能を展開するリモートアクセス型トロイの木馬（RAT）をインストールするドロッパーとして機能します。 ### 推奨事項 「specstudio.code-wakatime-activity-tracker」または「floktokbok.autoimport」をインストールしたユーザーは、侵害されたとみなし、すべてのシークレットをローテーションすることを推奨します。