A Koi Security jelentése szerint a Visual Studio Code fejlesztőit egy önszaporító féreggel (worm) célozták meg egy kifinomult ellátási lánc (supply chain) támadásban az OpenVSX platformon keresztül. A rosszindulatú program láthatatlan Unicode-karaktereket használ a kód elrejtésére, valamint blokklánc-alapú infrastruktúrát alkalmaz.
