一个月前，安全公司Koi Security发出警告，称在开源Visual Studio Code（VS Code）扩展市场Open VSX中发现首个蠕虫程序GlassWorm，随后Open VSX的运营方Eclipse基金会已着手清理。如今，该蠕虫程序再次通过恶意扩展出现在Open VSX中。

Koi Security于11月6日监测到新一轮GlassWorm活动，此次发现三个扩展具有明确的GlassWorm特征，分别为：ai-driven-dev.ai-driven-dev、adhamu.history-in-sublime-merge 和 yasuyuky.transient-emacs，下载量分别为3300次、4000次和2400次，总计可能造成约9700次恶意软件感染。这些扩展均包含肉眼无法识别的Unicode字符，但能被JavaScript解释器执行。

该安全公司设法访问了攻击者的环境，发现一份受害者名单，包含数十名开发者及组织，分布于美国、南美洲、欧洲和亚洲，其中包括中东的政府机构。值得注意的是，尽管攻击者通过新的Solana交易分发有效载荷，但其命令与控制服务器及数据外泄服务器与此前活动相同，表明相关攻击已持续约一个月。

根据攻击者不慎暴露在服务器上的终端活动分析，他们使用俄语进行沟通，并利用开源浏览器扩展C2框架RedExt搭建基础设施。此外，Koi Security还掌握了这些黑客的加密货币交易所账户和即时通讯软件账号，并已将相关信息提供给执法机构并通知受害者。该公司强调，目前确认的受害者仅是冰山一角，实际影响规模远超此数。