Die Glassworm-Kampagne markiert einen Paradigmenwechsel bei Supply-Chain-Angriffen. Innerhalb einer Woche kompromittierten die Angreifer 151 GitHub-Repositories und verteilten Schadcode über npm, VS Code Market­place und Open VSX. Bereits der npm-Wurm Shai-Hulud hatte Ende 2025 erwarten lassen, dass solche Angriffe kein Einzelfall bleiben.