De Glassworm-campagne blijkt hardnekkiger dan gedacht. Na de ontdekking van schadelijke extensies in oktober in zowel de OpenVSX-omgeving als de Microsoft Visual Studio Marketplace, is er nu een derde golf geïdentificeerd. Onderzoek door Secure Annex, gerapporteerd door BleepingComputer, toont aan dat aanvallers opnieuw schadelijke pakketten publiceren met namen die lijken op bekende ontwikkelaarstools. Na toelating op de marktplaats wordt een update uitgevoerd waarin de malware verborgen zit. Door de downloadcijfers kunstmatig te verhogen, verschijnen deze pakketten hoger in zoekresultaten en lijken ze betrouwbaarder. Zoals Techzine eerder meldde, gebruikte Glassworm onzichtbare Unicode-tekens om schadelijke code te verbergen. Hierdoor lijken extensies legitiem, terwijl ze feitelijk modules bevatten die GitHub-, npm- en OpenVSX-accounts kunnen compromitteren. Ook wordt het systeem van het slachtoffer als proxy gebruikt en wordt een remote access-component geïnstalleerd voor ongeziene toegang door aanvallers.

OpenVSX meldde begin november dat het incident was ingedamd. Toegangstokens waren geroteerd, hun levensduur was beperkt en nieuwe extensies werden automatisch gescand. Er werd samengewerkt met andere marktplaatsen om risico's beter te beheersen. De nieuwe besmettingsgolf toont echter aan dat aanvallers met nieuwe accounts en pakketten opnieuw weten binnen te dringen. Glassworm is moeilijk te blokkeren vanwege zijn complexe infrastructuur. Analyses tonen dat de malware de Solana-blockchain gebruikt om instructies op te halen, wat een gedistribueerd commandomechanisme oplevert dat moeilijk te blokkeren is. Als uitwijkmechanisme wordt informatie uit een verborgen Google Calendar-item gehaald, terwijl onderdelen van de aanval via peer-to-peerverbindingen zoals WebRTC en BitTorrent worden verspreid. In de nieuwste varianten worden ook Rust-gebaseerde implantaten gevonden. Bij eerdere incidenten raakten al duizenden installaties besmet, mede doordat VS Code-extensies automatisch worden bijgewerkt. Glassworm verspreidt zich ook via npm en GitHub, waar gestolen tokens worden gebruikt om pakketten te publiceren en repositories te manipuleren. Dit creëert een breder supply-chaineffect dat niet beperkt is tot één platform. Microsoft meldt dat het de detectiecapaciteit blijft verbeteren en benadrukt dat gebruikers verdachte extensies moeten melden via de rapportagefunctie op de marketplace. Beveiligingsspecialisten waarschuwen dat organisaties dit soort incidenten als potentieel supply-chainincident moeten behandelen, vooral omdat ontwikkelomgevingen doorgaans diepgaande systeem- en netwerktoegang hebben.