出现在VS Code扩展市场和Open VSX扩展仓库中的蠕虫程序GlassWorm再次出现新活动。黑客使用新的GitHub账号上传热门扩展的复制版本，这些扩展最初并无恶意软件，但经过一段时间后，黑客会发布包含恶意代码的更新版本，向用户传播GlassWorm，以此规避Open VSX或微软的审核机制，并获取用户信任。

安全公司Socket指出，他们在3月于Open VSX中发现了73个恶意VS Code扩展，其中大部分看似无害，但有6个已显露真实意图，被用于传播GlassWorm。该公司表示，这些恶意扩展与今年3月披露（1月发现）的攻击活动有关，并遵循GlassWorm近期的攻击模式：恶意扩展在首次发布时不会包含明显有效载荷，之后黑客通过扩展的更新机制分发恶意软件。

Socket还指出，发布恶意扩展的GitHub账号存在共同特征：均为新注册账号，通常仅拥有1至2个公开仓库，且其中一个公开仓库以8位字符的随机字符串命名，但内容为空。