Le botnet Glassworm, qui ciblait depuis début 2025 les développeurs de logiciels open source, a été neutralisé par les équipes de CrowdStrike et de Google, selon une information confirmée fin mai 2026. L’opération a mis fin à une campagne de cyberattaques particulièrement sophistiquée, visant à compromettre la chaîne d’approvisionnement logicielle.
Des cibles soigneusement choisies
Glassworm ne s’attaquait pas au hasard. Le botnet sélectionnait des développeurs disposant d’un accès privilégié aux dépôts de code source et aux registres de paquets logiciels. En infectant un seul poste de travail, les pirates pouvaient déclencher une réaction en chaîne et toucher des milliers d’organisations utilisatrices de composants open source. Le malware se cachait dans des extensions VSCode malveillantes publiées sur la plateforme OpenVSX, déguisées en outils légitimes et populaires, et se diffusait également via des paquets npm et Python. Les auteurs ont aussi piégé plus de 300 dépôts GitHub, mis en ligne après avoir volé les identifiants de développeurs.
Une infrastructure redondante et résiliente
Le botnet se distinguait par une infrastructure de commandement et de contrôle particulièrement robuste. Quatre canaux de communication redondants étaient utilisés, tous conçus pour résister au blocage. Le premier recourait à la blockchain Solana : les adresses des serveurs de contrôle étaient cachées dans des transactions publiques, rendant toute modification ou suppression impossible. Le trafic vers la blockchain étant difficile à distinguer d’une activité normale de cryptomonnaies, le mécanisme offrait une flexibilité maximale aux pirates. Si un serveur était neutralisé, il leur suffisait de publier une nouvelle transaction avec une nouvelle adresse IP, que le malware lisait automatiquement.
Un logiciel malveillant polyvalent
Une fois installé sur une machine, Glassworm déployait GlasswormRAT, un outil d’accès à distance complet. Ce logiciel malveillant était capable de voler des fichiers, des identifiants de connexion et des portefeuilles de cryptomonnaies. Dans un rapport consacré au botnet, CrowdStrike a souligné que « la chaîne d’approvisionnement logicielle reste l’une des surfaces d’attaque les plus redoutables de l’informatique moderne », les cybercriminels transformant les dépendances des organisations en vecteurs d’attaque et en multiplicateurs de force.
Une menace neutralisée
Malgré la sophistication de l’infrastructure et la durée de l’opération criminelle, les équipes de CrowdStrike et de Google sont parvenues à démanteler le botnet. Aucune information n’a été communiquée sur d’éventuelles arrestations ou sur l’identité précise des opérateurs, mais les autorités considèrent que la menace est écartée. Cette neutralisation intervient alors que de plus en plus de groupes criminels, y compris des pirates nord-coréens, se tournent vers la blockchain pour orchestrer leurs attaques, ce qui rend la lutte contre ce type de menace de plus en plus complexe.
