GlassWorm Malware Uses Solana Dead Drops to Deliver RAT and Steal Browser, Crypto Data

1 minute de lecture

Mis à jour : March 25, 2026

La menace GlassWorm : détournement de la blockchain Solana pour des attaques par chaîne d’approvisionnement

La campagne GlassWorm s’est intensifiée en exploitant des paquets malveillants via npm, PyPI, GitHub et Open VSX (récemment étendu au protocole MCP). Ce malware multi-étapes utilise des transactions sur la blockchain Solana et des événements Google Calendar comme « boîtes aux lettres » (dead drops) pour récupérer ses serveurs de commande et contrôle (C2).

Points clés :

Vecteur d’infection : Téléchargement de paquets open-source compromis ou usurpés.
Mécanismes avancés : Utilisation de la blockchain pour masquer les adresses C2 et contournement de l’encodage ABE (App-Bound Encryption) de Chrome.
Payloads :
- Un malware .NET ciblant les portefeuilles matériels (Ledger/Trezor) via des fenêtres de phishing.
- Un RAT JavaScript pour le contrôle distant, l’exfiltration de données de navigation et l’installation d’une extension Chrome malveillante (« Google Docs Offline ») destinée au vol de sessions actives et d’actifs cryptographiques.
Ciblage : Surveillance spécifique des utilisateurs de Bybit et exfiltration massive de données (cookies, historique, captures d’écran, frappes clavier).

Vulnérabilités :

Bien qu’aucune CVE spécifique ne soit mentionnée, l’attaque repose sur l’exploitation de la confiance accordée aux dépôts de paquets open-source (Supply Chain Attack) et sur le contournement des protections natives de Google Chrome (ABE).

Recommandations :

Vigilance développeur : Vérifier systématiquement l’historique et l’authenticité des packages avant installation sur les plateformes npm, PyPI et MCP. Ne pas se fier uniquement au nombre de téléchargements.
Détection locale : Utiliser l’outil open-source glassworm-hunter fourni par AFINE pour analyser les systèmes sans risque de fuite de télémétrie.
Hygiène de sécurité : Surveiller les processus suspects (ex: processus Ledger Live terminés brutalement) et se méfier des fenêtres de récupération de phrase secrète apparaissant lors de la connexion de périphériques USB.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

GlassWorm Malware Uses Solana Dead Drops to Deliver RAT and Steal Browser, Crypto Data

La menace GlassWorm : détournement de la blockchain Solana pour des attaques par chaîne d’approvisionnement

Partager sur

Vous pourriez aimer

TP-Link warns users to patch critical router auth bypass flaw

Vulnérabilités critiques sur les routeurs TP-Link Archer NX

The Kill Chain Is Obsolete When Your AI Agent Is the Threat

L’obsolescence de la « Cyber Kill Chain » face aux agents IA

SmartApeSG campaign pushes Remcos RAT, NetSupport RAT, StealC, and Sectop RAT (ArechClient2), (Wed, Mar 25th)

Analyse de la campagne malveillante SmartApeSG

Sen. Wyden Warns of Another Section 702 Abuse

Alerte sur les abus de la section 702 par la NSA