Un réseau de machines infectées, spécialement conçu pour infiltrer les environnements des développeurs et compromettre les chaînes d’approvisionnement logicielles, a été démantelé hier, mercredi 26 mai 2026. Selon Numerama, cette opération coordonnée, menée par CrowdStrike, Google et la fondation Shadowserver, marque un tournant dans la lutte contre ce malware baptisé Glassworm. Actif depuis au moins début 2025, ce botnet a exploité des failles dans les outils de développement pour s’étendre silencieusement à des milliers d’organisations.

Ce qu’il faut retenir

  • Glassworm a infecté des développeurs via de faux outils de code, des extensions malveillantes et des paquets npm ou Python compromis.
  • Plus de 300 dépôts GitHub ont été compromis grâce à des identifiants volés sur des machines déjà infectées.
  • Le malware, GlasswormRAT, permettait de voler des identifiants, d’exfiltrer des données et de prendre le contrôle à distance des machines sous Windows, macOS et Linux.
  • Son infrastructure de commande reposait sur quatre canaux redondants, dont des transactions sur la blockchain Solana et des titres Google Calendar, rendant son démantèlement complexe.
  • Les indices pointent vers des acteurs russes, selon l’analyse du code source et des tactiques utilisées.

Une campagne ciblée sur l’écosystème des développeurs

Contrairement aux campagnes de malware classiques visant des utilisateurs grand public ou des entreprises exposées, Glassworm a adopté une stratégie précise : s’attaquer aux développeurs. Ce choix n’a rien d’anodin. En infiltrant les postes de travail des personnes chargées de concevoir et de maintenir des logiciels, les opérateurs du botnet obtenaient un accès direct aux dépôts de code source, aux pipelines d’intégration, aux registres de paquets et aux plateformes cloud. Autant de vecteurs permettant une propagation massive en aval.

Selon Numerama, les attaquants ont exploité cette faille en publiant de fausses extensions sur des éditeurs de texte comme VS Code, Cursor ou Windsurf. Ils ont également recouru à l’empoisonnement de paquets sur les registres npm et Python, une méthode permettant d’injecter du code malveillant dans des bibliothèques largement utilisées. Plus de 300 dépôts GitHub ont ainsi été compromis, souvent grâce à des identifiants volés sur des machines déjà infectées. Chaque succès renforçait leur réseau, augmentant le nombre de machines sous leur contrôle.

GlasswormRAT, l’outil au cœur de l’arsenal malveillant

Au centre de cette campagne se trouvait GlasswormRAT, un logiciel malveillant modulaire conçu pour voler des identifiants, exfiltrer des données sensibles et prendre le contrôle à distance des machines infectées. Fonctionnant sur les trois principaux systèmes d’exploitation — Windows, macOS et Linux —, ce malware offrait aux attaquants une flexibilité redoutable. Une fois installé, il se connectait à une infrastructure de commande et contrôle (C2) pour recevoir des instructions et transmettre les données collectées.

Pour se protéger contre les tentatives de neutralisation, les opérateurs de Glassworm avaient conçu une infrastructure C2 particulièrement sophistiquée. Au lieu de s’appuyer sur une simple adresse IP, ils avaient mis en place quatre canaux redondants pour communiquer avec les machines infectées. L’un d’eux utilisait des transactions sur la blockchain Solana pour stocker les adresses des serveurs de contrôle, les rendant difficiles à supprimer. Un second canal passait par le réseau pair-à-pair BitTorrent, tandis qu’un troisième exploitait les titres d’événements Google Calendar comme points de dépôt pour des instructions encodées. Enfin, le quatrième canal reposait sur une infrastructure classique hébergée chez des fournisseurs de services cloud.

Une opération coordonnée pour couper les quatre canaux

Face à cette architecture complexe, la neutralisation de Glassworm a nécessité une action simultanée sur les quatre canaux de commande. Selon Numerama, CrowdStrike, Google et la fondation Shadowserver ont mené une frappe coordonnée, bloquant les serveurs de contrôle et rendant les machines infectées incapables de recevoir de nouvelles instructions ou de transmettre des données. Les opérateurs du botnet ont ainsi perdu le contrôle de leur réseau, même si certaines machines pourraient encore contenir des traces de l’infection.

Cependant, comme le souligne Numerama, la question de la résilience de cette opération reste entière. Si les acteurs derrière Glassworm ont subi un revers majeur, rien ne garantit qu’ils ne reconstitueront pas une infrastructure similaire. Une telle reconstruction nécessiterait des ressources et un temps précieux, mais les cybercriminels ont souvent prouvé leur capacité à s’adapter et à rebondir. Pour l’heure, les entreprises et les développeurs sont invités à vérifier l’intégrité de leurs environnements et à appliquer les correctifs disponibles.

« Cette campagne illustre la menace croissante que représentent les attaques par chaîne d’approvisionnement, où les développeurs deviennent la cible privilégiée pour compromettre des milliers d’organisations en aval. »
— Un porte-parole de CrowdStrike, cité par Numerama

Des indices pointant vers la Russie

Plusieurs éléments dans le code source et le comportement de Glassworm laissent supposer une origine russe. Le malware vérifie les paramètres régionaux et le fuseau horaire de la machine au démarrage. Si celle-ci se trouve dans un pays de la Communauté des États Indépendants (CEI), il se désactive discrètement, une tactique courante chez les cybercriminels russes pour éviter de s’attaquer à leurs voisins. De plus, des commentaires en russe parsèment le code, renforçant cette hypothèse.

Cette attribution géographique, bien que plausible, reste difficile à confirmer avec certitude. Les acteurs malveillants utilisent souvent des subterfuges pour brouiller les pistes, et l’absence de preuve formelle ne permet pas d’exclure d’autres origines. Toutefois, cette piste s’inscrit dans la continuité des activités attribuées à des groupes cybercriminels russes, connus pour leurs attaques ciblées et leur sophistication technique.

Et maintenant ?

Les prochaines semaines seront cruciales pour évaluer l’impact réel de cette opération. Les entreprises et les développeurs devront auditer leurs environnements pour détecter d’éventuelles traces de Glassworm, tandis que les éditeurs de logiciels devront renforcer la sécurité de leurs outils. Une enquête plus approfondie est attendue pour identifier les responsables et comprendre les motivations derrière cette campagne. D’ici là, la vigilance reste de mise dans un paysage où les attaques par chaîne d’approvisionnement gagnent en complexité et en fréquence.

Reste à voir si cette neutralisation marquera un tournant dans la lutte contre les botnets ciblant les développeurs, ou si elle ne sera qu’une étape parmi d’autres dans une course sans fin entre cybercriminels et experts en cybersécurité. Une chose est sûre : l’écosystème du développement logiciel reste un terrain de choix pour les attaquants, et la vigilance doit rester constante.

Les entreprises et développeurs sont invités à vérifier l’intégrité de leurs outils de développement, à analyser les extensions installées et à auditer les paquets utilisés. Des outils de détection comme ceux proposés par CrowdStrike ou Google peuvent aider à identifier d’éventuelles traces de l’infection.

Les entreprises devraient appliquer les correctifs disponibles, renforcer la sécurité de leurs pipelines d’intégration et sensibiliser leurs équipes aux risques liés aux attaques par chaîne d’approvisionnement. Une collaboration avec des experts en cybersécurité est également recommandée pour auditer les environnements compromis.