Pesquisadores de cibersegurança sinalizaram mais uma evolução da campanha **GlassWorm** em andamento, que emprega um novo Zig dropper projetado para infectar furtivamente todos os ambientes de desenvolvimento integrado (IDEs) na máquina de um desenvolvedor. ### Mascarado como WakaTime A técnica foi descoberta em uma extensão Open VSX chamada "specstudio.code-wakatime-activity-tracker", que se mascarou como WakaTime, uma ferramenta popular que mede o tempo que os programadores passam dentro de suas IDEs. A extensão não está mais disponível para download. "A extensão [...] distribui um binário nativo compilado em Zig junto com seu código JavaScript", disse Ilyas Makari, pesquisador da **Aikido Security**, em uma análise publicada esta semana. "Esta não é a primeira vez que **GlassWorm** recorre ao uso de código nativo compilado em extensões. No entanto, em vez de usar o binário como payload diretamente, ele é usado como uma indireção furtiva para o conhecido dropper **GlassWorm**, que agora infecta secretamente todas as outras IDEs que consegue encontrar em seu sistema." ### Análise Técnica Profunda: O Zig Dropper A extensão recém-identificada do **Microsoft Visual Studio Code** (VS Code) é uma réplica quase exata do WakaTime, exceto por uma alteração introduzida em uma função chamada "activate()". A extensão instala um binário chamado "win.node" em sistemas Windows e "mac.node", um binário universal Mach-O se o sistema estiver executando o **Apple** macOS. Esses addons nativos do Node.js são bibliotecas compartilhadas compiladas escritas em Zig que carregam diretamente no runtime do Node e executam fora do sandbox JavaScript com acesso total em nível de sistema operacional.  ### Mirando Múltiplas IDEs Uma vez carregado, o objetivo principal do binário é encontrar todas as IDEs no sistema que suportam extensões do VS Code. Isso inclui **Microsoft VS Code** e VS Code Insiders, bem como forks como VSCodium, Positron, e várias ferramentas de codificação com inteligência artificial (IA) como Cursor e Windsurf. ### Infecção de Segundo Estágio: Impersonando Extensões Legítimas O binário então baixa uma extensão maliciosa do VS Code (.VSIX) de uma conta do **GitHub** controlada pelo atacante. A extensão – chamada "floktokbok.autoimport" – impersona "steoates.autoimport", uma extensão legítima com mais de 5 milhões de instalações no Visual Studio Marketplace oficial. Na etapa final, o arquivo .VSIX baixado é gravado em um caminho temporário e instalado silenciosamente em todas as IDEs usando o instalador CLI de cada editor. A extensão do VS Code de segundo estágio atua como um dropper que evita a execução em sistemas russos, se comunica com o blockchain **Solana** para buscar o servidor de comando e controle (C2), exfiltra dados sensíveis e instala um trojan de acesso remoto (RAT), que finalmente implanta uma extensão do **Google Chrome** que rouba informações. ### Recomendações Usuários que instalaram "specstudio.code-wakatime-activity-tracker" ou "floktokbok.autoimport" são aconselhados a assumir comprometimento e rotacionar todos os segredos.