A kibebriztonsági kutatók egy kiterjedt, célzott támadási kampányt azonosítottak, amely a Microsoft Visual Sturdio Coda (VS Code) bővítményeit használja fertőzési vektorként. Az Open VSX tárhelyen közzétett 73 gyanús kiterjesztés közül több bizonyítottan rosszindulatú, míg a többi úgynevezett „sleeper” csomagként működik. Ezek első ránézésre legitimnek tűnnek, gyakran nevükben, ikonjukban és leírásukban is lemásolják az eredeti bővítményeket, ezzel megtévesztve a fejlesztőket és bizalmat építve a későbbi támadásokhoz.

A kampány, amelyet GlasWorm v2 néven követnek, kifinomult social engineering technikákat alkalmaz, különösen a vizuális megtévesztésre építve. A támadók célja, hogy minél nagyobb számú telepítést érjenek el, mielőtt
egy frissítés során aktiválnák a kártékony funkciókat. Emellett egyre fejlettebb módszereket alkalmaznak
a felismerés elkerülésére, például tranzitív függőségeket és Zig nyelven írt letöltő komponenseket (droppereket), amelyek további rosszindulatú kódot töltenek le külső forrásokból.

A fertőzési lánc végén a bővítmények egy másodlagos VSIX csomagot telepítenek a rendszer összes elérhető fejlesztői környezetébe, beleértve a VS Code különböző változatait is. A támadás végső célja egy komplex kártevő telepítése, amely adatlopásra, távoli hozzáférésű trójai (RAT) telepítésére, valamint böngészőalapú kémkedésre képes.