Die betroffene Erweiterung für Microsoft Visual Studio Code (VS Code) ist nach Angaben von Aikido Security nahezu eine Kopie von WakaTime. Der einzige Unterschied liegt in einer Änderung an einer Funktion namens „activate()". Auf Windows-Systemen installiert die Erweiterung eine Binärdatei namens „win.node", auf Apple-macOS-Systemen eine universelle Mach-O-Binärdatei namens „mac.node".
Bei diesen Dateien handelt es sich um native Node.js-Add-ons – kompilierte, in Zig geschriebene Shared Libraries, die direkt in die Laufzeitumgebung von Node geladen werden. Sie laufen außerhalb der JavaScript-Sandbox und verfügen über vollen Zugriff auf Betriebssystemebene.
Nach dem Laden besteht die Hauptaufgabe der Binärdatei darin, jede IDE auf dem System zu finden, die VS-Code-Erweiterungen unterstützt. Dazu zählen Microsoft VS Code und VS Code Insiders ebenso wie Forks wie VSCodium und Positron sowie KI-gestützte Programmierwerkzeuge wie Cursor und Windsurf.
Anschließend lädt die Binärdatei eine schädliche VS-Code-Erweiterung (.VSIX) von einem durch die Angreifer kontrollierten GitHub-Konto herunter. Diese Erweiterung trägt den Namen „floktokbok.autoimport" und gibt sich als „steoates.autoimport" aus – eine legitime Erweiterung mit über fünf Millionen Installationen im offiziellen Visual Studio Marketplace.
Im letzten Schritt wird die heruntergeladene .VSIX-Datei in ein temporäres Verzeichnis geschrieben und über den jeweiligen CLI-Installer jedes Editors unbemerkt in alle IDEs installiert. Die Erweiterung der zweiten Stufe fungiert als Dropper: Sie verzichtet auf eine Ausführung auf russischen Systemen, kontaktiert die Solana-Blockchain, um den Command-and-Control-Server (C2) zu ermitteln, exfiltriert sensible Daten und installiert einen Remote-Access-Trojaner (RAT). Dieser bringt schließlich eine datenstehlende Erweiterung für Google Chrome aus.
Nutzern, die „specstudio.code-wakatime-activity-tracker" oder „floktokbok.autoimport" installiert haben, rät Aikido Security, von einer Kompromittierung auszugehen und sämtliche Zugangsdaten zu erneuern.
