GlassWorm è il primo worm che si auto-propaga attraverso estensioni VS Code — e il codice malevolo è letteralmente invisibile all'occhio umano. Non offuscato. Non nascosto in un file minificato. Invisibile.
L'industria ha ignorato tutto questo per cinque anni
Nel novembre 2021, Nicholas Boucher e Ross Anderson di Cambridge pubblicarono Trojan Source: un paper che dimostrava come caratteri Unicode — variation selectors e zone Private Use Area — potessero rendere il codice sorgente visivamente diverso da ciò che il compilatore effettivamente legge. Il paper fu acclamato, citato, presentato alle conferenze. E poi? Niente. L'industria lo ha registrato come curiosità accademica e ha continuato a fare le stesse identiche cose. Zero firma crittografica obbligatoria sui pacchetti, zero sandboxing reale nelle estensioni, zero revisione umana nei marketplace.
GlassWorm non ha inventato nulla — ha semplicemente weaponizzato una tecnica pubblica che tutti hanno scelto di ignorare.
Sbagliato.
Nel giugno 2025 (disclosure iniziata il 4 maggio), Koi Security ha divulgato pubblicamente che Open VSX aveva una vulnerabilità di takeover totale — chiunque poteva prendere il controllo dell'intera piattaforma, mettendo a rischio milioni di macchine sviluppatore. GlassWorm è arrivato cinque mesi dopo. Il mito che open source significhi automaticamente più sicuro è uno dei più persistenti e pericolosi del nostro settore, e chi usa code-server o VSCodium convinto di essere al riparo dal marketplace Microsoft si è seduto esattamente nel mezzo del bersaglio.
